Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Einige der Antiviren-Programme versuchen inzwischen aktiv, solche ZIP-Bomben zu erkennen und vor ihnen zu warnen. Wenn man die von Fifield bereitgestellte Originaldatei bei Virustotal hochlädt, wird sie inzwischen von 19 der getesteten Programme erkannt.

Stellenmarkt
  1. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg
  2. Systemadministrator (m/w/d)
    Unfallkasse Nord, Lübeck, Itzehoe, Kiel
Detailsuche

Besonders intelligent scheint die Erkennung aber nicht zu sein: Wenn man stattdessen eine ähnliche ZIP-Datei mit geringfügig anderen Parametern erzeugt - Fifield hat das hierfür genutzte Tool öffentlich bereitgestellt - sinkt die Erkennungsrate auf sieben.

Die meisten Antivirenprogramme haben also lediglich eine Erkennung exakt für die bereitgestellte Beispieldatei eingebaut, nicht generell für derartige ZIP-Bomben. Zu den Programmen, die sich so austricksen lassen, gehören die der Hersteller Symantec, Comodo, Trend Micro und Sophos.

Auch Programme, die direkt versuchen, entsprechende ZIP-Bomben anhand ihrer Struktur zu erkennen, lassen sich teilweise austricksen. Die Entwickler des freien Scanners ClamAV haben - nach einem Bugreport vom Autor dieses Artikels - ein Update veröffentlicht.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Doch David Fifield weist im entsprechenden Bugreport darauf hin, dass der Patch nur dazu führt, dass mehrfach genutzte Segmente von direkt hintereinander liegenden Dateien erkannt werden. Fügt man aber Dummy-Dateien dazwischen ein, führt es wieder dazu, dass ClamAV die Datei zu entpacken versucht und dabei extrem hohe CPU-Last erzeugt.

ClamAV wird häufig von Mailserverbetreibern genutzt, um eingehende Mails automatisch zu scannen. Solche Mailserver lassen sich durch dieses Problem sehr leicht außer Gefecht setzen. Wer ClamAV hierfür nutzt, sollte vorläufig das Scannen von gepackten Dateien deaktivieren, bis ein weiteres Update bereitsteht, welches das Problem hoffentlich dauerhaft behebt.

Auch Chrome hat Probleme mit ZIP-Bombe

Es sind nicht nur Antiviren-Programme, die ein Problem mit dieser ZIP-Bombe haben. Auch der Chrome-Browser versucht beim Herunterladen von ZIP-Dateien, diese zunächst zu entpacken und zu analysieren. Will man die ZIP-Bombe herunterladen, wird der Download nicht beendet und der Browser benötigt extrem viel CPU-Leistung.

Die Webseite, auf der David Fifield seine ZIP-Bomben und die zugehörigen Beispieldateien bereitgestellt hat, ist inzwischen auf der Safebrowsing-Liste von Google gelandet. Diese listet eigentlich bösartige Webseiten auf, etwa solche, die versuchen, ihre Besucher mit Malware zu infizieren. Die Webseite wird daher mit Chrome oder Firefox nicht direkt angezeigt, man muss zunächst die entsprechende Warnung wegklicken. Das führte auch dazu, dass auf derselben Domain gehostete Webseiten auf Subdomains blockiert wurden, die mit der ZIP-Bombe überhaupt nichts zu tun hatten.

Den Chrome-Browser schützt das vor einem entsprechenden Angriff natürlich nicht: Diese Blockliste gilt nur für diese eine Webseite; wenn dieselbe Datei auf einer anderen Webseite bereitgestellt oder automatisch heruntergeladen wird, führt das weiterhin dazu, dass Chrome überlastet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  1.  
  2. 1
  3. 2


heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.



Aktuell auf der Startseite von Golem.de
Fire TV Stick 4K Max im Test
Amazons bisher bester Streaming-Stick

Viel Streaming-Leistung für wenig Geld - das liefert der neue Fire TV Stick 4K Max. Es ist ganz klar Amazons bisher bester Streaming-Stick.
Ein Test von Ingo Pakalski

Fire TV Stick 4K Max im Test: Amazons bisher bester Streaming-Stick
Artikel
  1. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  2. Pulsar Fusion: Mit Plastikmüll-Treibstoff in den Weltraum
    Pulsar Fusion
    Mit Plastikmüll-Treibstoff in den Weltraum

    Das Raumfahrt-Start-up Pulsar Fusion hat einen hybriden Treibstoff aus Plastikmüll entworfen. Die ersten Testzündungen waren erfolgreich.

  3. Steam: Landwirtschafts-Simulator 22 schlägt Battlefield 2042
    Steam
    Landwirtschafts-Simulator 22 schlägt Battlefield 2042

    Bessere Wertung, höhere Verkaufszahlen und mehr Multiplayer: Auf Steam gewinnt Landwirtschafts-Simulator 22 haushoch gegen Battlefield 2042.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • Nur noch heute bis 50% auf Amazon-Geräte • 3 für 2: Star Wars & Marvel • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /