腔病毒是一种相对不常见的病毒,它会将自身复制到文件中未使用的空间中,从而在不影响所感染文件大小的情况下进行传播。 它们有时也被称为“空间填充”病毒。 许多文件都有空格,在执行它们所属的文件时通常会忽略这些空格。 这些空间的存在不是问题——当然,除非它们被病毒感染。
由于文件大小未发生任何变化,因此无法仅通过检查其属性来了解文件是否已被更改——相反,您必须将其与之前未受感染的版本进行比较才能确定。 空间填充物自 1998 年以来一直存在,并且相当难以发现。 在 Windows 95/98 时代前后有几次非常成功的病毒浪潮。
它是怎样工作的?
为了感染文件,空间填充器首先需要找到其中有空白空间的文件。 因此,它需要扫描空白区域。 当它在某个文件中找到空白空间时,它会复制自己,填充空间而不会使文件变大。 这使得防病毒程序很难检测到。
只要病毒一直在寻找足够大的空间来复制自己,它就会继续这样做——如果它找不到任何地方或者它已经感染了所有可能的选项,那么它可能会闲置直到被触发或者只是继续扫描直到一个新文件适合它出现。 因此,它会在后台消耗处理能力,从而减慢其他事情的速度。
这种技术依赖于几乎专门寻找已知病毒签名的原始防病毒技术。 通过感染现有文件,生成的感染签名对于文件和病毒的组合是唯一的。
一个真正的 example
1998 年,一种名为 CIH 的病毒展示了这种功能。 它被昵称为切尔诺贝利,因为它的有效载荷被偶然设置为在十多年前切尔诺贝利灾难发生的日期触发。 该病毒专门针对可移植执行或 PE 文件中的漏洞。 它将其代码拆分以整齐地填补这些空白,并在文件顶部插入一个表格来跟踪其代码的位置,以便它可以正常运行。
然后,CIH 将在触发日期用零覆盖存储的第一个兆字节。 这通常会破坏分区表或主引导记录。 丢失使它看起来好像整个驱动器已被擦除。 但是,数据是可恢复的。 该病毒还会尝试擦除 BIOS 芯片。 这仅在某些设备上成功,而在其他设备上则不然。 在带有已擦除 BIOS 芯片的设备上,芯片需要重新编程或更换。 另一种选择是购买一台新电脑。
据估计,CIH 病毒已造成 10 亿美元的损失,并感染了全球 6000 万台计算机。 该病毒由台湾大同大学学生陈英浩编写。 Chén 声称编写该病毒是为了挑战反病毒开发人员提出的过于大胆的效率声明。 然后它被同学们发布了,尽管目前还不清楚这是故意的还是偶然的。 Chén 向大学道歉并为 CIH 发布了杀毒软件。 没有提出任何指控,因为当时台湾缺乏计算机犯罪立法,也没有受害者提出诉讼。
预防
预防蛀牙或填充物病毒的最佳方法是最大限度地降低接触风险。 一个好的步骤是确保您下载或安装的所有程序和文件都来自官方、可信赖的来源。 历史上防病毒程序往往难以检测空腔病毒。 不过,现代防病毒技术要先进得多。 让您的防病毒软件保持最新并使用最新的病毒特征码进行更新仍然很重要,这样可以更轻松地检测和删除已知病毒。
这种病毒已经见不到了。 防病毒技术已经有了很大的进步,使得检测这类事情变得更加容易。 此外,病毒制造者还采用了更有创意的方法来避开防病毒软件。
结论
空腔病毒,也称为空间填充病毒,是一种将自身隐藏在其他文件的空隙中的恶意软件。 这种技术很难用基本的文件签名检查来检测。 它还避免调整受感染文件的大小,使其更难检测。 最著名的 example, CIH, 使用这种技术效果很好。 它根据需要将代码拆分成多个间隔,并在文件顶部插入一个表格以跟踪其代码的位置。 现代反病毒技术能够识别这种病毒,因此不常用。
