• IT-Karriere:
  • Services:

Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Einige der Antiviren-Programme versuchen inzwischen aktiv, solche ZIP-Bomben zu erkennen und vor ihnen zu warnen. Wenn man die von Fifield bereitgestellte Originaldatei bei Virustotal hochlädt, wird sie inzwischen von 19 der getesteten Programme erkannt.

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Webasto Group, Gilching bei München

Besonders intelligent scheint die Erkennung aber nicht zu sein: Wenn man stattdessen eine ähnliche ZIP-Datei mit geringfügig anderen Parametern erzeugt - Fifield hat das hierfür genutzte Tool öffentlich bereitgestellt - sinkt die Erkennungsrate auf sieben.

Die meisten Antivirenprogramme haben also lediglich eine Erkennung exakt für die bereitgestellte Beispieldatei eingebaut, nicht generell für derartige ZIP-Bomben. Zu den Programmen, die sich so austricksen lassen, gehören die der Hersteller Symantec, Comodo, TrendMicro und Sophos.

Auch Programme, die direkt versuchen, entsprechende ZIP-Bomben anhand ihrer Struktur zu erkennen, lassen sich teilweise austricksen. Die Entwickler des freien Scanners ClamAV haben - nach einem Bugreport vom Autor dieses Artikels - ein Update veröffentlicht.

Doch David Fifield weist im entsprechenden Bugreport darauf hin, dass der Patch nur dazu führt, dass mehrfach genutzte Segmente von direkt hintereinander liegenden Dateien erkannt werden. Fügt man aber Dummy-Dateien dazwischen ein, führt es wieder dazu, dass ClamAV die Datei zu entpacken versucht und dabei extrem hohe CPU-Last erzeugt.

ClamAV wird häufig von Mailserverbetreibern genutzt, um eingehende Mails automatisch zu scannen. Solche Mailserver lassen sich durch dieses Problem sehr leicht außer Gefecht setzen. Wer ClamAV hierfür nutzt, sollte vorläufig das Scannen von gepackten Dateien deaktivieren, bis ein weiteres Update bereitsteht, welches das Problem hoffentlich dauerhaft behebt.

Auch Chrome hat Probleme mit ZIP-Bombe

Es sind nicht nur Antiviren-Programme, die ein Problem mit dieser ZIP-Bombe haben. Auch der Chrome-Browser versucht beim Herunterladen von ZIP-Dateien, diese zunächst zu entpacken und zu analysieren. Will man die ZIP-Bombe herunterladen, wird der Download nicht beendet und der Browser benötigt extrem viel CPU-Leistung.

Die Webseite, auf der David Fifield seine ZIP-Bomben und die zugehörigen Beispieldateien bereitgestellt hat, ist inzwischen auf der Safebrowsing-Liste von Google gelandet. Diese listet eigentlich bösartige Webseiten auf, etwa solche, die versuchen, ihre Besucher mit Malware zu infizieren. Die Webseite wird daher mit Chrome oder Firefox nicht direkt angezeigt, man muss zunächst die entsprechende Warnung wegklicken. Das führte auch dazu, dass auf derselben Domain gehostete Webseiten auf Subdomains blockiert wurden, die mit der ZIP-Bombe überhaupt nichts zu tun hatten.

Den Chrome-Browser schützt das vor einem entsprechenden Angriff natürlich nicht: Diese Blockliste gilt nur für diese eine Webseite; wenn dieselbe Datei auf einer anderen Webseite bereitgestellt oder automatisch heruntergeladen wird, führt das weiterhin dazu, dass Chrome überlastet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.


Folgen Sie uns
       


Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

    •  /