-
добавить в избранное
Против бомб есть Dr.Web
18 июля 2019
Архивирование файлов может быть удобным не только для обычных пользователей, но и для киберпреступников.
Мы уже писали о так называемых zip-бомбах в выпусках «Бомбы и эволюция» и «Вот это бомба!». Напомним, что это такое.
Это архивные файлы формата .zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне — 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 петабайта.
Примитивной бомбой может быть, например, файл из многократно повторенных единиц. А архив – это по сути маленький файлик с указанием, что число 1 надо записать в файл очень много раз. В итоге архив маленький, а сам файл огромный. Всё просто.
Но это простейшая реализация. Недавно появилась реализация посложнее.
В этой статье показано, как создать нерекурсивную zip-бомбу. Она работает путём перекрытия файлов внутри zip-контейнера, чтобы ссылаться на «ядро» сильно сжатых данных в нескольких файлах, не делая несколько копий. Выходной размер zip-бомбы растёт квадратично от входного размера; т. е. степень сжатия улучшается при увеличении размера бомбы.
Как известно, антивирус обязан распаковать всё и вся и до конца.
Надо сразу помечать такой файл как вредоносный и удалять. Легальных файлов там точно не будет.
Если антивирус не будет полностью распаковывать архивы, то вредоносные файлы можно будет передать на атакуемый компьютер, спрятав на глубоком уровне распаковки.
Тавис Орманди указывает, что в VirusTotal для zblg.zip есть ряд таймаутов (скриншот от 6 июня 2019 года): AhnLab-V3, ClamAV, DrWeb, Endgame, F-Secure, GData, K7AntiVirus, K7GW, MaxSecure, McAfee, McAfee-GW-Edition, Panda, Qihoo-360, Sophos ML, VBA32. Результаты для zbsm.zip (скриншот от 6 июня 2019 года) похожи, но с другим набором движков, выпавших в таймаут: Baido, Bkav, ClamAV, CMC, DrWeb, Endgame, ESET-NOD32, F-Secure, GData, Kingsoft, McAfee-GW-Edition, NANO-Antivirus, Acronis.
Что ж. Давайте проверим!
Внимание! В комментариях к упомянутой статье читатели отмечают, что ряд браузеров сразу начинает распаковывать архивы. Что, по понятным причинам, чревато.
Скачал самый маленький файл на 5GB, Chrome тут же начал его распаковывать, хотя его об этом не просили.
А я скачал. Хром просто наглухо повесил диск C и угомонился, только когда я его застрелил.
То же самое, только Яндекс-Браузер.
Vivaldi тоже не может никак осилить. Грузанул полностью одно ядро на обработку и висит.
А вот Edge справился без проблем.
Мы скачали файлы с помощью Firefox.
В статье предложено три варианта новых бомб:
- zbsm.zip 42 KB → 5.5 GB
- zblg.zip 10 MB → 281 TB
- zbxl.zip 46 MB → 4.5 PB (Zip64, менее совместима с парсерами)
Проверим их по очереди.
Для всех архивов результаты приводить не будем. Вот результат для zbsm:
В одном архиве даже нашелся вирус:
Никаких зависаний не отмечено.
Антивирусная правДА! рекомендует
Пользуйтесь антивирусом Dr.Web – он проверяет даже файлы, спрятанные под неизвестными упаковщиками. Нас бомбами не сломать!
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Саня
18:42:38 2019-09-16
Serg07
21:21:47 2019-08-09
Любитель пляжного футбола
01:00:07 2019-07-20
Почитал про разреженные файлы, вспомнилось про кометы, видимое ничто, как их назвал один астроном. Их плотность за исключением ядра, которое тоже не цельное, ничтожно мала. Чтобы представить, какова плотность хвоста кометы, видимого на огромное расстояние, предлагалось в качестве примера взять примерно одну миллионную часть пшеничного зернышка и развеять эту часть в здании Большого театра.
«…Тут скорее программы, обрабатывающие подобные типы файлов, должны это автоматически предотвращать…»
Так-то да, но программы для просмотра изображений – это одно, а архиватор – это совсем другое, архиватор просто честно будет выполнять свою работу. :)
Я ещё раз прочитал внимательно статью и комментарии к ней, и у меня сложилось впечатление, что антивирус детектирует только известные образцы бомб, примеры которых были приведены в статье. Но подобные бомбы с индивидуальными свойствами и непохожие на другие может создать каждый подготовленный шутник. Да, Dr.Web распакует весь архив для проверки и запакует обратно, и если он там не обнаружит скрытый где-то в недрах 81-го уровня вирус, то с чистой совестью его пропустит. Ведь там нет ни одного вредоносного файла, просто всякий хлам задавит тебя своей массой.
Я всегда проверяю антивирусом абсолютно любой скачанный из интернета файл, прежде чем его открыть. Вот так, скачал что-то, проверил – вирусов нет, думаешь, это инструкция, а тут … BANG!!!
Я вынужден поставить под сомнение корректность заголовка данной статьи, антивирус выручит, если в архиве притаился вирус, но от бомбы как таковой антивирус не спасёт, и винчестеру будет кранты. Просто на это нет детектора. :)
Возможно, компьютерщик и смог бы определить, какой будет конечный объём файла после распаковки. Не знаю, как быстро это делается. Да и каждый архив так проверять... Это уж больше для параноиков.
Думаю, что вы правы насчёт того, что "программы, обрабатывающие подобные типы файлов, должны это автоматически предотвращать". Разработчики могут настроить программу-архиватор так, чтобы она проверяла, не превысит ли объём распаковываемого файла объём свободного места на диске, и при достижении опасного порога приостанавливала бы работу и выдавала предупреждение, что дальнейшая распаковка может оказаться опасной для жизни компьютера. Наверное так.
ka_s
22:02:27 2019-07-19
dyadya_Sasha
11:43:25 2019-07-19
Вячeслaв
10:55:18 2019-07-19
Вячeслaв
10:54:12 2019-07-19
Мы не особо считаем подобные файлы вредоносными. Мы ищем вредоносный код, подобный же архив сам по себе вредоносного кода не несет. Способов отстрелить себе ногу множество. Вот скажем фавиконы - иконки в сроке адреса браузера. Можно было загрузить иконку размером в тучку мегабайт. Была такая дыра. Должен от нее антивирус защищать? Или картинки - это тоже по сути архив, а значит можно создать png-бомбу. Должен от нее антивирус защищать?
Очень философский вопрос. Тут скорее программы, обрабатывающие подобные типы файлов, должны это автоматически предотвращать
Sasha50
05:05:29 2019-07-19
Альфа
22:35:44 2019-07-18
Lia00
22:26:28 2019-07-18
Геральт
22:17:18 2019-07-18
eaglebuk
22:05:35 2019-07-18
razgen
21:57:02 2019-07-18
Да и вообще никогда у меня не было чтобы Chrome сам распаковывал какой либо архив.
kozinka.ru
21:51:41 2019-07-18
Любитель пляжного футбола
21:36:59 2019-07-18
Ну, садомазой не увлекаюсь, поэтому подрывные работы на моём ПК вести не буду. :)
В общем, какой бы ни был у тебя жёсткий диск, хоть на десяток петабайт, несравнимо легче создать такой файлик, разархивированный объём которого будет превышать объём винчестера. Разрушать всегда легче было. В принципе, от таких винчестеров проку всё равно не было бы: сдохнет он, и все петабайты информации с ним тоже. Так что вряд ли когда-либо подобные жёсткие диски появятся.
И вопрос вдогонку: как понимаю, если судить по скриншотам в этой статье, антивирус отлавливает только те "сюрпризы с горящим фитилём", которые при распаковке чрезмерно увеличиваются в размерах, превышая разумные пределы. 5Гб - хоть и много, но винчестер от этого не ляжет, если, конечно, не забит под завязку. Поэтому антивирус его и не посчитал за вредоносный файл. Т.е. Dr.Web учитывает выходной размер файла?
Шалтай Александр Болтай
21:32:48 2019-07-18
robot
21:22:13 2019-07-18
evgen krestin
21:11:02 2019-07-18
Dvakota
20:51:42 2019-07-18
anatol
20:44:33 2019-07-18
Andromeda
19:59:07 2019-07-18
marisha-san
17:27:09 2019-07-18
Alexander
17:20:55 2019-07-18
woland
17:17:47 2019-07-18
Пaвeл
17:10:11 2019-07-18
DIMGOL
16:11:12 2019-07-18
Oleg
15:01:01 2019-07-18
Вячeслaв
13:45:23 2019-07-18
Как бы начать... Опасен ли format для антивирусов? Дело в том, что антивирусы и format - разные уровни жизни. Антивирусы контролируют целостность своих файлов. Но вот как располагается сам файл - им безразлично. Дело в том, что файловая система ОС это некая внутренняя жизнь, невидимая пользователю. Кроме format есть утилиты например оптимизации жесткого диска. Они перемещают блоки с места на место. Система подмены блоков, если некий блок начал читаться плохо и тд. Можно конечно (предполагаю) зафиксировать размещение файлов антивируса на диске и никого к ним не подпускать. Но тогда что делать, если диск начал сыпаться и система лихорадочно пытается переместить антивирус, чтобы он продолжит работать? упираться?
Alexander
13:34:35 2019-07-18
Вы правы, неосторожной штатной командой (например, format c:) или другими действиями пользователя, не рассматриваемыми Dr.Web как злонамеренная активность, можно причинить вред системе.
Но ведь команда "format c:" посягает и на сам факт бытия Dr.Web в системе. Полагаю, что Dr.Web Security Space при детектировании исполнения подобных команд должен (предвидя возможность своего уничтожения) как-то "обратиться" к пользователю с предупреждением... Мол, одумайся, друг, ты делаешь что-то очень опасное... Спросить, переспросить, и ещё раз потребовать подтверждения, - и лишь потом… обречённо закрыв свои анализаторы разрешить исполнение "самоубийственной" команды… Ну, как-то так…
Toma
12:41:09 2019-07-18
Вячeслaв
12:40:03 2019-07-18
Вячeслaв
12:37:50 2019-07-18
vinnetou
12:22:55 2019-07-18
sanek-xf
11:38:42 2019-07-18
Alexander
11:07:25 2019-07-18
Masha
11:03:32 2019-07-18
Вячeслaв
11:03:00 2019-07-18
Вячeслaв
11:02:31 2019-07-18
По потреблению ресурсов сегодня посмотрю
Alexander
10:56:26 2019-07-18
@admin, при чтении статьи возник вопрос, пересекающийся с уже заданным от участника @Неуёмный_Обыватель. Какие ресурсы системы и компьютера задействует Dr.Web Security Space при проверке таких "zip-бомб". Какова нагрузка на процессор, какое потребление оперативной памяти, как используется дисковое пространство и какие затраты времени на обработку такого файла?
Galina X
10:42:29 2019-07-18
Неуёмный Обыватель
10:40:57 2019-07-18
Вячeслaв
10:27:35 2019-07-18
Другой вариант, когда распаковывается папка с практически бесконечным количеством вложенностей. В этом случае падает разархиватор
Денисенко Павел Андреевич
10:20:22 2019-07-18
Gallor
10:18:57 2019-07-18
Вячeслaв
10:15:58 2019-07-18
Shogun
09:28:54 2019-07-18
Татьяна
09:25:07 2019-07-18
Главное, что Dr.Web их обезвреживает!
Natalya_2017
09:17:54 2019-07-18
Dmur
08:46:57 2019-07-18
Неуёмный Обыватель
08:14:14 2019-07-18