Zip Bomb - Was ist das? Wie funktioniert es?

Eine Zip-Bombe oder "Dekompressionsbombe" ist eine bösartige Archivdatei, die viele sich wiederholende Daten enthält, die das Programm beim Lesen zum Absturz bringen können.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

Was ist eine Zip-Bombe? Definition, wie funktioniert es? | Gridinsoft

Was ist Zip Bomb?

October 02, 2022

Eine Zip-Bombe (Dekompressionsbombe, Todesarchiv) ist eine Art Virus, der aufgrund seines geringen Gewichts eine enorme Menge an Informationen enthält, oft seiner Größe entsprechend.

Die klassische Zip-Bombe ist ein winziges Archiv, von dem das meiste in Kilobyte gemessen wird. Wenn diese Datei entpackt wird, ist ihr Inhalt wichtiger, als das System verarbeiten kann. Typischerweise sind dies Hunderte von Gigabyte an Daten, und die Fortgeschrittenen können Petabyte (Millionen GB) oder sogar Exabyte (Milliarden Gigabyte) erreichen. Also, ja, um das klarzustellen, wir sprechen davon, die Exkubiten in Kilobytes zu füllen.

Die erste Erwähnung einer Zip-Bombe stammt aus dem Jahr 1996. Einer der Benutzer des damals beliebten Messaging-Dienstes Fidonet postete auf dem Schwarzen Brett ein bösartiges Archiv, das ein ahnungsloser Administrator öffnete.

Wenn Sie eine Datei öffnen, werden alle Daten entpackt, was zum Absturz des Programms oder des gesamten Systems führt, da einfach nicht genügend Speicherplatz vorhanden ist, um diese Datenmenge zu entpacken.

42.zip - Eine klassische Zip-Bombe


Die häufigste Zip-Bombe, die Sie im Internet finden können, ist "42.zip". Es wiegt nur 42 Kb in gepackter Form.

Wenn Sie es jedoch entpacken, erhalten Sie auf dem Weg nach draußen 4,5 PetaBytes (36.000.000 GB) an Daten!

Dies wird durch ein rekursiv verschachteltes Zip-Dateisystem erreicht, bei dem die niedrigste Zip-Dateiebene auf eine Größe von 4,3 GB dekomprimiert wird. Die Konstruktion verwendet den gebräuchlichsten Dekomprimierungsalgorithmus, der mit den meisten Zip-Parsern kompatibel ist.

Zip Bomb Definition: Wie funktioniert es?

Das Prinzip der Zip-Bombe besteht darin, dass sie beispielsweise eine Textdatei erstellt, die entweder leer ist oder dieselben Symbole enthält, und archiviert wird. Da die Datei dieselben Informationen enthält, archiviert sie sich selbst und hat eine viel kleinere Größe als die anderen. Dann werden weitere 16 der gleichen Archive erstellt, aber da sie im Hash völlig identisch sind, werden sie wie eine einzige Datei sein und nichts wiegen. Dann weitere 16 Kopien, dann weitere 16 Kopien und so 6 mal. Letztendlich haben wir 6 Ebenen mit 16 Archiven, von denen jede 16 gleiche Archive hat.

Was ist Komprimierung?


Komprimierung ist die Verringerung der Anzahl von Bits, die zur Darstellung von Daten erforderlich sind. Sehen wir uns das genauer an:

| xxxyyyyxxxyxxxyxxx

Dieser String ist 18 Zeichen lang. Das xxx kommt oft vor. Dies wird als statistische Redundanz bezeichnet. Nehmen wir die längsten gemeinsamen Sequenzen in Daten und stellen sie mit so wenig Bits wie möglich dar. Das Komprimieren dieser Zeichenfolge bedeutet nun, dass wir diese Informationen in weniger als 18 Zeichen darstellen müssen. Ersetzen Sie jedes Vorkommen von „xxx“ durch ein Symbol, sagen Sie „$“ und sehen Sie, was passiert.

Nun verwenden wir eine (komprimierte) Zwischenzeichenkette zusammen mit einigen Anweisungen, wie man die ursprüngliche Zeichenkette erhält:

| $yyyy$y$y$
| $=xxx

Die erste Zeile enthält unsere komprimierten Daten und die zweite - Anweisungen. Ein von uns erstelltes Wörterbuch sagt uns, dass wir, wenn wir die Daten dekomprimieren müssen, jedes Vorkommen von $ durch xxx ersetzen sollten, um die ursprünglichen Daten wiederherzustellen. Jetzt zählen wir die Gesamtzahl der Zeichen.

Jetzt brauchen wir 10 + 5 = 15, um dieselbe Information darzustellen.

Wofür wird Zip Bomb verwendet?

Da die Zip-Bombe das System nicht direkt beschädigt, wird sie oft verwendet, um einen Fehler oder eine Deaktivierung des Programms zu verursachen, das versucht, darauf zuzugreifen. Es kann auch zum Deaktivieren von Antivirensoftware verwendet werden, um eine Hintertür für andere zu erstellen typische Malware.

Anstatt den regulären Betrieb des Programms zu stehlen, ermöglicht die Zip-Bombe, dass das Programm wie beabsichtigt funktioniert. Dennoch ist das Archiv sorgfältig entworfen, sodass das Entpacken (z. B. Antivirus-Scannen nach Viren) übermäßig viel Zeit, Speicherplatz oder Arbeitsspeicher (oder alles davon) in Anspruch nimmt. Zu diesem Zeitpunkt kann der Angreifer versuchen, das System mit einem echten Virus zu infizieren. Obwohl das Antivirenprogramm manchmal versucht, Anhänge zu scannen, beansprucht es alle Ressourcen des PCs, wodurch das System so stark belastet wird, dass eine weitere Verwendung des Geräts unmöglich wird.

Woher kommt die Reißverschlussbombe?

Es ist heutzutage fast unmöglich, sich einen solchen Virus versehentlich einzufangen. Die meisten modernen Antivirenprogramme haben gelernt, Zip-Bomben zu erkennen und zu neutralisieren, und in der Praxis ist die Effektivität eines solchen Angriffs minimal.