ไวรัสโพรงคืออะไร?

ไวรัสโพรงเป็นไวรัสประเภทที่พบได้ไม่บ่อยนัก ซึ่งจะคัดลอกตัวเองไปยังพื้นที่ที่ไม่ได้ใช้งานในไฟล์ ดังนั้นจึงแพร่กระจายโดยไม่กระทบต่อขนาดไฟล์ของสิ่งที่ติดไวรัส บางครั้งพวกเขาเรียกอีกอย่างว่าไวรัส "ตัวเติมช่องว่าง" ไฟล์จำนวนมากมีพื้นที่ว่างที่โดยปกติแล้วจะถูกละเว้นเมื่อเรียกใช้ไฟล์ที่เป็นส่วนหนึ่ง การมีช่องว่างเหล่านี้ไม่ใช่ปัญหา – เว้นแต่จะติดไวรัสแน่นอน

เนื่องจากไม่มีการเปลี่ยนแปลงขนาดไฟล์ จึงเป็นไปไม่ได้ที่จะทราบได้ว่าไฟล์มีการเปลี่ยนแปลงโดยบริสุทธิ์หรือไม่โดยการตรวจสอบคุณสมบัติของไฟล์ คุณจะต้องเปรียบเทียบกับเวอร์ชันก่อนหน้าที่ไม่ติดเชื้อเพื่อให้แน่ใจ ฟิลเลอร์อวกาศมีมาตั้งแต่ปี 1998 และมองเห็นได้ยากพอสมควร มีคลื่นไวรัสที่ประสบความสำเร็จมากมายในช่วง Windows 95/98 วัน

มันทำงานอย่างไร?

ในการทำให้ไฟล์ติดไวรัส ตัวเติมช่องว่างจำเป็นต้องค้นหาไฟล์ที่มีพื้นที่ว่างในนั้นก่อน ดังนั้นจึงจำเป็นต้องสแกนหาพื้นที่ว่าง เมื่อพบพื้นที่ว่างในไฟล์ที่ใดที่หนึ่ง มันจะคัดลอกตัวเองเข้าไปเติมเต็มพื้นที่โดยไม่ทำให้ไฟล์ใหญ่ขึ้น ทำให้ยากต่อการตรวจพบโดยโปรแกรมป้องกันไวรัส

ตราบเท่าที่ไวรัสยังคงค้นหาช่องว่างที่ใหญ่พอที่จะคัดลอกตัวเองเข้าไป มันก็จะทำเช่นนั้นต่อไป - หากไม่พบที่ไหนเลยหรือมันติดไวรัสทุกตัวเลือกที่เป็นไปได้แล้ว มันอาจจะอยู่เฉยๆ จนกว่าจะถูกกระตุ้นหรือเพียงแค่ทำการสแกนต่อไปจนกว่าจะมีไฟล์ใหม่ เหมาะสมกับที่ปรากฏ ดังนั้นมันจะใช้พลังงานในการประมวลผลในพื้นหลังซึ่งอาจทำให้สิ่งอื่นช้าลง

เทคนิคนี้ใช้เทคนิคการป้องกันไวรัสแบบดั้งเดิมที่เกือบจะมองหาลายเซ็นของไวรัสที่รู้จักโดยเฉพาะ โดยการทำให้ไฟล์ที่มีอยู่ติดไวรัส ลายเซ็นที่ติดไวรัสที่เป็นผลลัพธ์จะไม่ซ้ำกับการรวมกันของไฟล์และไวรัส

ตัวอย่างจริง

ในปี 1998 ไวรัสที่เรียกว่า CIH ได้แสดงการทำงานนี้ มีชื่อเล่นว่าเชอร์โนปิลเนื่องจากน้ำหนักบรรทุกของมันถูกกำหนดให้ทำงานในวันที่เกิดภัยพิบัติเชอร์โนบิลโดยไม่ได้ตั้งใจเมื่อกว่า 10 ปีก่อน ไวรัสกำหนดเป้าหมายช่องว่างในไฟล์ Portable Execution หรือ PE โดยเฉพาะ มันแบ่งรหัสให้พอดีกับช่องว่างเหล่านั้นอย่างเรียบร้อยและแทรกตารางที่ด้านบนสุดของไฟล์เพื่อติดตามตำแหน่งของรหัสเพื่อให้สามารถทำงานได้อย่างถูกต้อง

จากนั้น CIH จะเขียนทับพื้นที่เก็บข้อมูลเมกะไบต์แรกด้วยศูนย์ในวันที่ทริกเกอร์ ซึ่งโดยทั่วไปจะทำลายตารางพาร์ติชันหรือมาสเตอร์บูตเรคคอร์ด การสูญเสียที่ทำให้ดูเหมือนว่าไดรฟ์ทั้งหมดถูกล้าง อย่างไรก็ตาม ข้อมูลสามารถกู้คืนได้ ไวรัสจะพยายามล้างชิป BIOS ด้วย สิ่งนี้ประสบความสำเร็จในอุปกรณ์บางรุ่นเท่านั้นและไม่สามารถทำได้ในอุปกรณ์อื่น บนอุปกรณ์ที่มีการล้างชิป BIOS จำเป็นต้องตั้งโปรแกรมใหม่หรือเปลี่ยนชิป ทางเลือกอื่นคือการซื้อคอมพิวเตอร์เครื่องใหม่

ทุกคนบอกว่าไวรัส CIH นั้นสร้างความเสียหาย 1 พันล้านเหรียญสหรัฐ และทำให้คอมพิวเตอร์ติดไวรัส 60 ล้านเครื่องทั่วโลก ไวรัสดังกล่าวเขียนโดย Chen Yíngháo นักศึกษาจากมหาวิทยาลัย Tatung ในไต้หวัน Chén อ้างว่าไวรัสถูกเขียนขึ้นมาเพื่อท้าทายต่อคำกล่าวอ้างด้านประสิทธิภาพที่มากเกินไปของผู้พัฒนาโปรแกรมป้องกันไวรัส จากนั้นเพื่อนร่วมชั้นก็ปล่อยมันออกมา แม้ว่าจะยังไม่ชัดเจนว่าจงใจหรือตั้งใจก็ตาม Chen ขอโทษมหาวิทยาลัยและเผยแพร่โปรแกรมป้องกันไวรัสสำหรับ CIH ไม่เคยถูกตั้งข้อหาใดๆ เนื่องจากในขณะนั้น ไต้หวันไม่มีกฎหมายเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ และไม่มีผู้เสียหายรายใดมายื่นฟ้อง

การป้องกัน

การป้องกันไวรัสโพรงหรือช่องว่างทำได้ดีที่สุดโดยการลดความเสี่ยงในการสัมผัสของคุณ ขั้นตอนหนึ่งที่ดีคือต้องแน่ใจว่าโปรแกรมและไฟล์ทั้งหมดที่คุณดาวน์โหลดหรือติดตั้งนั้นมาจากแหล่งที่เป็นทางการและเชื่อถือได้ โปรแกรมป้องกันไวรัสในอดีตมักจะมีปัญหาในการตรวจหาไวรัสโพรง เทคนิคการป้องกันไวรัสสมัยใหม่นั้นก้าวหน้ากว่ามาก การรักษาโปรแกรมป้องกันไวรัสของคุณให้ทันสมัยอยู่เสมอและการอัปเดตด้วยลายเซ็นไวรัสล่าสุดยังคงเป็นสิ่งสำคัญ เพื่อให้ง่ายต่อการตรวจจับและลบไวรัสที่รู้จัก

ไวรัสชนิดนี้ไม่มีให้เห็นอีกแล้ว เทคนิคการป้องกันไวรัสมีความก้าวหน้าอย่างมากทำให้ตรวจจับสิ่งนี้ได้ง่ายขึ้นมาก นอกจากนี้ ผู้สร้างไวรัสยังได้ใช้วิธีการที่สร้างสรรค์ยิ่งขึ้นในการหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัส

บทสรุป

ไวรัสโพรงหรือที่เรียกว่าไวรัสตัวเติมช่องว่างเป็นมัลแวร์ประเภทหนึ่งที่ซ่อนตัวอยู่ในช่องว่างในไฟล์อื่นๆ เทคนิคนี้ทำให้ตรวจจับได้ยากด้วยการตรวจสอบลายเซ็นไฟล์ขั้นพื้นฐาน นอกจากนี้ยังหลีกเลี่ยงการปรับขนาดไฟล์ที่ติดไวรัส ทำให้ยากต่อการตรวจจับ ตัวอย่างที่รู้จักกันดีที่สุด CIH ใช้เทคนิคนี้เพื่อให้ได้ผลลัพธ์ที่ยอดเยี่ยม มันแยกรหัสตามช่องว่างมากเท่าที่จำเป็นและแทรกตารางที่ด้านบนสุดของไฟล์เพื่อติดตามตำแหน่งของรหัส เทคนิคป้องกันไวรัสสมัยใหม่สามารถระบุไวรัสประเภทนี้ได้ ดังนั้นจึงไม่เป็นที่นิยมใช้