Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (36)
  • добавить в избранное
    Добавить в закладки

Бомбы и эволюция

Прочитали: 4227 Комментариев: 65 Рейтинг: 112

В документации по Dr.Web Security Space можно найти такую фразу: «Dr.Web для Outlook обнаруживает следующие вредоносные объекты: файлы-бомбы или архивы-бомбы…»

Больше никаких упоминаний о таинственных бомбах там нет – а ведь были времена, когда защита от них была жизненно необходима!

Напомним, что антивирус – это в первую очередь универсальный распаковщик. Полученные файлы он должен разобрать на составляющие, а архивы – распаковать, пытаясь обнаружить в них вирусы или троянцев.

При этом могут возникнуть проблемы. Например, упакованный файл может занимать больше места, чем доступно на диске. Сложно представить? А между тем все просто: берем файл, состоящий из одних нулей, и упаковываем его. В результате получаем коротенький файл, состоящий из заголовка архива и повторяющихся нулей. Как сделать файл размером больше любого разумного места? Его и не нужно делать – форматы архивов известны, так что нужный архив создается автоматически.

Одним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата .zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне — 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта.

#drweb

http://pikabu.ru/story/arkhiv_smerti_1865622

http://muzey-factov.ru/5254

Придумано это было еще давно для почты, но особую известность бомбы получили как средство борьбы злоумышленников с антивирусами.

Узел-получатель, пытаясь распаковать такой архив, с большой вероятностью либо исчерпывал лимит файловой системы (FAT-16) на кол-во имен файлов на одном разделе, либо занимал все свободное место в процессе распаковки. А, кажется, еще были мейл-бомбы в виде zip-архива с творчески подправленным заголовком и телом, которые приводили к тому, что архиватор (pkunzip.exe) либо вешал компьютер, либо «падал». Поскольку многие узлы работали по ночам в «автопилоте», получение мейл-бомбы приводило к «отказу в обслуживании» и оставляло владельца узла без свежей порции почты на следующий день.

К чему может привести ошибка обработки данных в распаковщике-антивирусе? Рассмотрим это на следующем примере.

Одна из проблем распаковки – количество уровней архивации. Обычные архивы, как правило, ограничиваются одним, двумя, максимум тремя уровнями. Редко этих уровней – десять, а между тем количество вложенностей архива может быть неограниченным. Как правило, программа-распаковщик строится по рекурсивной схеме: при обнаружении очередного уровня текущее окружение сохраняется, и распаковщик вызывает сам себя. Сохранение информации требует, как правило, немного байт или килобайт. Но когда количество уровней приближается к бесконечности (архив, опять же, создается вручную и желательно с ошибкой, чтобы распаковка была бесконечной), исчерпывается стек (часть области программы, из которой выделяется место под размещение временных данных), и программа пытается разместить данные за пределами отведенного под это места... А это означает крах – или возможность выполнения вредоносного кода.

Уязвимые версии: Clam AntiVirus 0.88.3 и более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки проверки границ данных в функции "pefromupx()" в libclamav/upx.c при распаковке PE выполняемого файла, сжатого в UPX. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

http://www.securitylab.ru/vulnerability/271803.php

К сожалению, области применения бомб-«шуток» не ограничиваются антивирусами. Вот, скажем, хотите вы посмотреть картинку:

spark.png.bz2

(420 байт)

В архиве на 420 байт — файл PNG размером 6 132 534 байт (5,8 МБ) и изображением 225 000 х 225 000 пикселей (50,625 гигапикселей). В пиксельном буфере с тремя байтами на пиксель картинка займёт примерно 141,4 ГБ.

https://xakep.ru/2015/09/03/png-bomb

#терминология #вредоносное_ПО #почта #бомба

Dr.Web рекомендует

Были времена, когда «винты» были не резиновые, а оперативная память составляла 640 КБ. Сегодня диски стали больше, программы обзавелись защитой от переполнения стека и области данных, но поиски идеальной бомбы в среде злоумышленников продолжаются.

#drweb

Почти 35 000 вариантов! И это только один тип!

Не хотите получить бомбу в почту? Защищайтесь с помощью Dr.Web!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: