• IT-Karriere:
  • Services:

Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Einige der Antiviren-Programme versuchen inzwischen aktiv, solche ZIP-Bomben zu erkennen und vor ihnen zu warnen. Wenn man die von Fifield bereitgestellte Originaldatei bei Virustotal hochlädt, wird sie inzwischen von 19 der getesteten Programme erkannt.

Stellenmarkt
  1. WILO SE, Dortmund
  2. ABS Team GmbH, Bovenden

Besonders intelligent scheint die Erkennung aber nicht zu sein: Wenn man stattdessen eine ähnliche ZIP-Datei mit geringfügig anderen Parametern erzeugt - Fifield hat das hierfür genutzte Tool öffentlich bereitgestellt - sinkt die Erkennungsrate auf sieben.

Die meisten Antivirenprogramme haben also lediglich eine Erkennung exakt für die bereitgestellte Beispieldatei eingebaut, nicht generell für derartige ZIP-Bomben. Zu den Programmen, die sich so austricksen lassen, gehören die der Hersteller Symantec, Comodo, Trend Micro und Sophos.

Auch Programme, die direkt versuchen, entsprechende ZIP-Bomben anhand ihrer Struktur zu erkennen, lassen sich teilweise austricksen. Die Entwickler des freien Scanners ClamAV haben - nach einem Bugreport vom Autor dieses Artikels - ein Update veröffentlicht.

Doch David Fifield weist im entsprechenden Bugreport darauf hin, dass der Patch nur dazu führt, dass mehrfach genutzte Segmente von direkt hintereinander liegenden Dateien erkannt werden. Fügt man aber Dummy-Dateien dazwischen ein, führt es wieder dazu, dass ClamAV die Datei zu entpacken versucht und dabei extrem hohe CPU-Last erzeugt.

ClamAV wird häufig von Mailserverbetreibern genutzt, um eingehende Mails automatisch zu scannen. Solche Mailserver lassen sich durch dieses Problem sehr leicht außer Gefecht setzen. Wer ClamAV hierfür nutzt, sollte vorläufig das Scannen von gepackten Dateien deaktivieren, bis ein weiteres Update bereitsteht, welches das Problem hoffentlich dauerhaft behebt.

Auch Chrome hat Probleme mit ZIP-Bombe

Es sind nicht nur Antiviren-Programme, die ein Problem mit dieser ZIP-Bombe haben. Auch der Chrome-Browser versucht beim Herunterladen von ZIP-Dateien, diese zunächst zu entpacken und zu analysieren. Will man die ZIP-Bombe herunterladen, wird der Download nicht beendet und der Browser benötigt extrem viel CPU-Leistung.

Die Webseite, auf der David Fifield seine ZIP-Bomben und die zugehörigen Beispieldateien bereitgestellt hat, ist inzwischen auf der Safebrowsing-Liste von Google gelandet. Diese listet eigentlich bösartige Webseiten auf, etwa solche, die versuchen, ihre Besucher mit Malware zu infizieren. Die Webseite wird daher mit Chrome oder Firefox nicht direkt angezeigt, man muss zunächst die entsprechende Warnung wegklicken. Das führte auch dazu, dass auf derselben Domain gehostete Webseiten auf Subdomains blockiert wurden, die mit der ZIP-Bombe überhaupt nichts zu tun hatten.

Den Chrome-Browser schützt das vor einem entsprechenden Angriff natürlich nicht: Diese Blockliste gilt nur für diese eine Webseite; wenn dieselbe Datei auf einer anderen Webseite bereitgestellt oder automatisch heruntergeladen wird, führt das weiterhin dazu, dass Chrome überlastet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Sandisk Ultra 3D 2TB SATA-SSD für 159,00€, LG OLED65CX9LA für 1.829,00€, Trust Trino...
  2. 29,99€ (Vergleichspreis ca. 45€)
  3. (u. a. Far Cry 5 für 11€, Greedfall für 17,99€, Dishonored 2 für 12,99€)
  4. 26,99€ (Bestpreis mit Amazon)

heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /