Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Einige der Antiviren-Programme versuchen inzwischen aktiv, solche ZIP-Bomben zu erkennen und vor ihnen zu warnen. Wenn man die von Fifield bereitgestellte Originaldatei bei Virustotal hochlädt, wird sie inzwischen von 19 der getesteten Programme erkannt.

Stellenmarkt
  1. IT-Systemtechniker (m/w/d)
    Senior Flexonics GmbH, Kassel
  2. Senior Automatisierungstechniker (m/w/d)
    Rentschler Biopharma SE, Laupheim
Detailsuche

Besonders intelligent scheint die Erkennung aber nicht zu sein: Wenn man stattdessen eine ähnliche ZIP-Datei mit geringfügig anderen Parametern erzeugt - Fifield hat das hierfür genutzte Tool öffentlich bereitgestellt - sinkt die Erkennungsrate auf sieben.

Die meisten Antivirenprogramme haben also lediglich eine Erkennung exakt für die bereitgestellte Beispieldatei eingebaut, nicht generell für derartige ZIP-Bomben. Zu den Programmen, die sich so austricksen lassen, gehören die der Hersteller Symantec, Comodo, Trend Micro und Sophos.

Auch Programme, die direkt versuchen, entsprechende ZIP-Bomben anhand ihrer Struktur zu erkennen, lassen sich teilweise austricksen. Die Entwickler des freien Scanners ClamAV haben - nach einem Bugreport vom Autor dieses Artikels - ein Update veröffentlicht.

Golem Karrierewelt
  1. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    06.-10.02.2023, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    23./24.01.2023, Virtuell
Weitere IT-Trainings

Doch David Fifield weist im entsprechenden Bugreport darauf hin, dass der Patch nur dazu führt, dass mehrfach genutzte Segmente von direkt hintereinander liegenden Dateien erkannt werden. Fügt man aber Dummy-Dateien dazwischen ein, führt es wieder dazu, dass ClamAV die Datei zu entpacken versucht und dabei extrem hohe CPU-Last erzeugt.

ClamAV wird häufig von Mailserverbetreibern genutzt, um eingehende Mails automatisch zu scannen. Solche Mailserver lassen sich durch dieses Problem sehr leicht außer Gefecht setzen. Wer ClamAV hierfür nutzt, sollte vorläufig das Scannen von gepackten Dateien deaktivieren, bis ein weiteres Update bereitsteht, welches das Problem hoffentlich dauerhaft behebt.

Auch Chrome hat Probleme mit ZIP-Bombe

Es sind nicht nur Antiviren-Programme, die ein Problem mit dieser ZIP-Bombe haben. Auch der Chrome-Browser versucht beim Herunterladen von ZIP-Dateien, diese zunächst zu entpacken und zu analysieren. Will man die ZIP-Bombe herunterladen, wird der Download nicht beendet und der Browser benötigt extrem viel CPU-Leistung.

Die Webseite, auf der David Fifield seine ZIP-Bomben und die zugehörigen Beispieldateien bereitgestellt hat, ist inzwischen auf der Safebrowsing-Liste von Google gelandet. Diese listet eigentlich bösartige Webseiten auf, etwa solche, die versuchen, ihre Besucher mit Malware zu infizieren. Die Webseite wird daher mit Chrome oder Firefox nicht direkt angezeigt, man muss zunächst die entsprechende Warnung wegklicken. Das führte auch dazu, dass auf derselben Domain gehostete Webseiten auf Subdomains blockiert wurden, die mit der ZIP-Bombe überhaupt nichts zu tun hatten.

Den Chrome-Browser schützt das vor einem entsprechenden Angriff natürlich nicht: Diese Blockliste gilt nur für diese eine Webseite; wenn dieselbe Datei auf einer anderen Webseite bereitgestellt oder automatisch heruntergeladen wird, führt das weiterhin dazu, dass Chrome überlastet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  1.  
  2. 1
  3. 2


heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. Cyberkriminalität: Jeder vierte Jugendliche ist ein Internettroll
    Cyberkriminalität
    Jeder vierte Jugendliche ist ein Internettroll

    Einer Umfrage zufolge ist bedenkliches bis illegales Verhalten von Jugendlichen im Internet zur Normalität geworden. In Deutschland ist der Anteil sehr hoch.

  2. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /