Abo
  • IT-Karriere:

Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Einige der Antiviren-Programme versuchen inzwischen aktiv, solche ZIP-Bomben zu erkennen und vor ihnen zu warnen. Wenn man die von Fifield bereitgestellte Originaldatei bei Virustotal hochlädt, wird sie inzwischen von 19 der getesteten Programme erkannt.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Computacenter AG & Co. oHG, München

Besonders intelligent scheint die Erkennung aber nicht zu sein: Wenn man stattdessen eine ähnliche ZIP-Datei mit geringfügig anderen Parametern erzeugt - Fifield hat das hierfür genutzte Tool öffentlich bereitgestellt - sinkt die Erkennungsrate auf sieben.

Die meisten Antivirenprogramme haben also lediglich eine Erkennung exakt für die bereitgestellte Beispieldatei eingebaut, nicht generell für derartige ZIP-Bomben. Zu den Programmen, die sich so austricksen lassen, gehören die der Hersteller Symantec, Comodo, TrendMicro und Sophos.

Auch Programme, die direkt versuchen, entsprechende ZIP-Bomben anhand ihrer Struktur zu erkennen, lassen sich teilweise austricksen. Die Entwickler des freien Scanners ClamAV haben - nach einem Bugreport vom Autor dieses Artikels - ein Update veröffentlicht.

Doch David Fifield weist im entsprechenden Bugreport darauf hin, dass der Patch nur dazu führt, dass mehrfach genutzte Segmente von direkt hintereinander liegenden Dateien erkannt werden. Fügt man aber Dummy-Dateien dazwischen ein, führt es wieder dazu, dass ClamAV die Datei zu entpacken versucht und dabei extrem hohe CPU-Last erzeugt.

ClamAV wird häufig von Mailserverbetreibern genutzt, um eingehende Mails automatisch zu scannen. Solche Mailserver lassen sich durch dieses Problem sehr leicht außer Gefecht setzen. Wer ClamAV hierfür nutzt, sollte vorläufig das Scannen von gepackten Dateien deaktivieren, bis ein weiteres Update bereitsteht, welches das Problem hoffentlich dauerhaft behebt.

Auch Chrome hat Probleme mit ZIP-Bombe

Es sind nicht nur Antiviren-Programme, die ein Problem mit dieser ZIP-Bombe haben. Auch der Chrome-Browser versucht beim Herunterladen von ZIP-Dateien, diese zunächst zu entpacken und zu analysieren. Will man die ZIP-Bombe herunterladen, wird der Download nicht beendet und der Browser benötigt extrem viel CPU-Leistung.

Die Webseite, auf der David Fifield seine ZIP-Bomben und die zugehörigen Beispieldateien bereitgestellt hat, ist inzwischen auf der Safebrowsing-Liste von Google gelandet. Diese listet eigentlich bösartige Webseiten auf, etwa solche, die versuchen, ihre Besucher mit Malware zu infizieren. Die Webseite wird daher mit Chrome oder Firefox nicht direkt angezeigt, man muss zunächst die entsprechende Warnung wegklicken. Das führte auch dazu, dass auf derselben Domain gehostete Webseiten auf Subdomains blockiert wurden, die mit der ZIP-Bombe überhaupt nichts zu tun hatten.

Den Chrome-Browser schützt das vor einem entsprechenden Angriff natürlich nicht: Diese Blockliste gilt nur für diese eine Webseite; wenn dieselbe Datei auf einer anderen Webseite bereitgestellt oder automatisch heruntergeladen wird, führt das weiterhin dazu, dass Chrome überlastet wird.

 Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. D24f FHD/144 Hz für 149€ + Versand statt 193,94€ im Vergleich)
  2. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)
  3. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  4. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)

heikom36 08. Aug 2019 / Themenstart

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019 / Themenstart

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019 / Themenstart

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019 / Themenstart

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019 / Themenstart

Die Technik dahinter ist keineswegs 1995, die ist neu.

Kommentieren


Folgen Sie uns
       


Samsung Galaxy Note 10 und 10 Plus - Hands on

Samsung hat seine neuen Note-Modelle gezeigt und wir haben sie ausprobiert.

Samsung Galaxy Note 10 und 10 Plus - Hands on Video aufrufen
Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

Galaxy Note 10 im Hands on: Samsungs Stift-Smartphone kommt in zwei Größen
Galaxy Note 10 im Hands on
Samsungs Stift-Smartphone kommt in zwei Größen

Samsung hat sein neues Android-Smartphone Galaxy Note 10 präsentiert - erstmals in zwei Versionen: Die Plus-Variante hat ein größeres Display und einen größeren Akku sowie eine zusätzliche ToF-Kamera. Günstig sind sie nicht.
Ein Hands on von Tobias Költzsch

  1. Werbung Samsung bewirbt Galaxy Note 10 auf seinen Smartphones
  2. Smartphone Samsung präsentiert Kamerasensor mit 108 Megapixeln
  3. Galaxy Note 10 Samsung korrigiert Falschinformation zum Edelstahlgehäuse

    •  /