Cosè un virus della cavità?

Un virus della cavità è un tipo di virus relativamente raro che si copia negli spazi inutilizzati nei file, diffondendosi così senza influire sulla dimensione del file di ciò che sta infettando. A volte sono anche chiamati virus "riempitivi". Molti file hanno spazi vuoti che normalmente vengono ignorati quando si tratta di eseguire il file di cui fanno parte. La presenza di questi spazi non è un problema, a meno che non siano infettati da un virus, ovviamente.

Dal momento che non viene apportata alcuna modifica alla dimensione del file, è impossibile sapere se un file è stato alterato semplicemente controllandone le proprietà; invece, dovresti confrontarlo con una versione precedente e non infetta per esserne sicuro. I riempitivi spaziali esistono dal 1998 e sono ragionevolmente difficili da individuare. Ci sono state diverse ondate di virus di grande successo intorno ai giorni di Windows 95/98.

Come funziona?

Per infettare i file, uno space filler deve prima trovare un file che contenga spazio vuoto. Quindi, ha bisogno di cercare spazi vuoti. Quando trova spazio vuoto in un file da qualche parte, si copierà, riempiendo lo spazio senza ingrandire il file. Ciò rende difficile il rilevamento da parte dei programmi antivirus.

Finché il virus continua a trovare spazi abbastanza grandi da copiarsi, continuerà a farlo: se non trova da nessuna parte o ha già infettato tutte le opzioni possibili, potrebbe rimanere inattivo fino a quando non viene attivato o semplicemente continuare la sua scansione fino a quando un nuovo file adatto per esso appare. In quanto tale, consumerà potenza di elaborazione in background che può rallentare altre cose.

Questa tecnica si basa su tecniche antivirus primitive che cercano quasi esclusivamente firme di virus noti. Infettando un file esistente, la firma infetta risultante è univoca per la combinazione di file e virus.

Un vero esempio

Nel 1998 un virus chiamato CIH, ha dimostrato questa funzionalità. È stato soprannominato Chernobyl perché il suo carico utile è stato accidentalmente impostato per attivarsi alla data del disastro di Chernobyl più di un decennio prima. Il virus prendeva di mira specificamente le lacune nei file Portable Execution o PE. Ha diviso il suo codice per adattarsi perfettamente a quegli spazi vuoti e ha inserito una tabella nella parte superiore del file per tenere traccia delle posizioni del suo codice in modo che potesse funzionare correttamente.

CIH quindi, alla data di attivazione, sovrascriverà il primo megabyte di spazio di archiviazione con zeri. Questo generalmente distruggeva la tabella delle partizioni o il record di avvio principale. Perderlo fa sembrare che l'intero disco sia stato cancellato. I dati, tuttavia, erano recuperabili. Il virus tenterà anche di cancellare il chip del BIOS. Questo ha avuto successo solo su alcuni dispositivi e non su altri. Sui dispositivi con un chip BIOS cancellato, il chip doveva essere riprogrammato o sostituito. L'altra alternativa era procurarsi un nuovo computer.

Tutto sommato, si stima che il virus CIH abbia causato danni per 1 miliardo di dollari e abbia infettato 60 milioni di computer in tutto il mondo. Il virus è stato scritto da Chén Yíngháo, uno studente della Tatung University di Taiwan. Chén ha affermato che il virus è stato scritto come una sfida contro le affermazioni di efficienza eccessivamente audaci fatte dagli sviluppatori di antivirus. È stato poi rilasciato dai compagni di classe, anche se non è chiaro se sia stato deliberato o accidentale. Chén si è scusato con l'università e ha pubblicato un antivirus per CIH. Nessuna accusa è mai stata presentata perché all'epoca Taiwan non disponeva di una legislazione sui crimini informatici e nessuna vittima si è fatta avanti con una causa.

Prevenzione

La prevenzione dei virus della cavità o del riempitivo spaziale è meglio minimizzare il rischio di esposizione. Un buon passo è assicurarsi che tutti i programmi e i file scaricati o installati provengano da una fonte ufficiale e affidabile. I programmi antivirus storicamente tendevano ad avere difficoltà a rilevare i virus della cavità. Tuttavia, le moderne tecniche antivirus sono molto più avanzate. È comunque importante mantenere il tuo antivirus aggiornato e aggiornato con le firme dei virus più recenti per semplificare il rilevamento e la rimozione dei virus noti.

Questo tipo di virus non si vede più. Le tecniche antivirus sono notevolmente avanzate, rendendo molto più facile rilevare questo genere di cose. Inoltre, i creatori di virus hanno anche adottato metodi ancora più creativi per evitare il software antivirus.

Conclusione

Un virus della cavità, noto anche come virus di riempimento dello spazio, è un tipo di malware che si nasconde negli spazi vuoti in altri file. Questa tecnica rende davvero difficile il rilevamento con i controlli di firma dei file di base. Evita inoltre di regolare le dimensioni del file infetto, rendendolo ancora più difficile da rilevare. L'esempio più noto, CIH, ha utilizzato questa tecnica con grande efficacia. Ha suddiviso il suo codice in tutte le lacune necessarie e ha inserito una tabella nella parte superiore del file per tenere traccia della posizione del suo codice. Le moderne tecniche antivirus sono in grado di identificare questo tipo di virus, quindi non è comunemente usato.