Вірус порожнини — це відносно рідкісний тип вірусу, який копіюється у невикористані місця у файлах, таким чином поширюючись, не впливаючи на розмір файлу, який він заражає. Їх іноді також називають вірусами, що наповнюють космос. У багатьох файлах є порожні місця, які зазвичай ігноруються під час виконання файлу, частиною якого вони є. Наявність цих просторів не є проблемою – звичайно, якщо вони не заражені вірусом.
Оскільки розмір файлу не змінюється, неможливо дізнатися, чи був файл змінений виключно перевіряючи його властивості – замість цього вам доведеться порівняти його з попередньою, неінфікованою версією впевнений. Космічні наповнювачі існують з 1998 року, і їх досить важко помітити. Протягом днів Windows 95/98 було кілька дуже успішних вірусних хвиль.
Як це працює?
Щоб заразити файли, заповнювач простору спочатку повинен знайти файл, у якому є порожнє місце. Отже, йому потрібно сканувати порожні місця. Коли він десь знаходить порожнє місце у файлі, він копіює себе, заповнюючи простір, не збільшуючи файл. Це ускладнює виявлення антивірусними програмами.
Поки вірус продовжує знаходити простори, достатньо великі для свого копіювання, він продовжуватиме це робити – якщо він ніде не знаходить або вже інфіковано всі можливі варіанти, тоді він може простоювати до активації або просто продовжувати сканування до появи нового відповідного файлу з'являється. Таким чином, він споживатиме обчислювальну потужність у фоновому режимі, що може уповільнити інші процеси.
Цей метод базується на примітивних антивірусних методах, які майже виключно шукають сигнатури відомих вірусів. Під час зараження існуючого файлу отриманий заражений підпис є унікальним для поєднання файлу та вірусу.
Реальний приклад
У 1998 році вірус під назвою CIH продемонстрував цю функціональність. Він отримав прізвисько Чорнобиль, тому що його корисне навантаження випадково було налаштовано на спрацьовування в день Чорнобильської катастрофи понад десять років тому. Вірус спеціально націлений на прогалини в Portable Execution або PE-файлах. Він розділив свій код, щоб акуратно вписатися в ці прогалини, і вставив таблицю у верхній частині файлу для відстеження розташування свого коду, щоб він міг працювати належним чином.
Потім у дату запуску CIH перезапише перший мегабайт пам’яті нулями. Це зазвичай знищує таблицю розділів або головний завантажувальний запис. Втрата створює враження, ніби весь диск стерто. Однак дані можна було відновити. Вірус також намагатиметься стерти чіп BIOS. Це було успішно лише на деяких пристроях, але не на інших. На пристроях зі стертою мікросхемою BIOS чип потребує перепрограмування або заміни. Іншою альтернативою було придбати новий комп’ютер.
За оцінками, вірус CIH завдав збитків у 1 мільярд доларів США та заразив 60 мільйонів комп’ютерів у всьому світі. Вірус був написаний Чен Інгао, студентом Університету Татунг на Тайвані. Чен стверджував, що вірус був написаний як виклик проти надто сміливих заяв про ефективність, зроблених розробниками антивірусів. Потім його оприлюднили однокласники, хоча незрозуміло, було це навмисно чи випадково. Чен вибачився перед університетом і опублікував антивірус для CIH. Жодних звинувачень не було висунуто, оскільки на той час у Тайвані не було законодавства щодо комп’ютерних злочинів і жодна жертва не подала позов.
Профілактика
Найкраще запобігти зараженню карієсними вірусами або вірусами, що наповнюють простір, мінімізуючи ризик зараження. Хорошим кроком є переконатися, що всі програми та файли, які ви завантажуєте або встановлюєте, походять з офіційного надійного джерела. Історично антивірусні програми мали труднощі з виявленням порожнинних вірусів. Однак сучасні антивірусні методи набагато досконаліші. Важливо постійно оновлювати свій антивірус і оновлювати його з найновішими сигнатурами вірусів, щоб було легше виявляти та видаляти відомі віруси.
Цей тип вірусу більше не зустрічається. Антивірусні методи значно вдосконалилися, що значно легше виявити подібні речі. Крім того, творці вірусів також застосували ще більш творчі методи уникнення антивірусного програмного забезпечення.
Висновок
Вірус порожнини, також відомий як вірус-заповнювач простору, — це тип зловмисного програмного забезпечення, яке ховається в прогалинах в інших файлах. Ця техніка дуже ускладнює виявлення за допомогою базової перевірки підпису файлу. Це також дозволяє уникнути коригування розміру інфікованого файлу, що ускладнює його виявлення. Найвідоміший приклад, CIH, використав цю техніку з великим ефектом. Він розділив свій код на стільки прогалин, скільки було потрібно, і вставив таблицю у верхній частині файлу, щоб відстежити розташування свого коду. Сучасні антивірусні методи здатні ідентифікувати цей тип вірусу, тому він не використовується широко.