Zip Bomb - Was ist das? Wie funktioniert es?

Eine Zip-Bombe oder "Dekompressionsbombe" ist eine bösartige Archivdatei, die viele sich wiederholende Daten enthÀlt, die das Programm beim Lesen zum Absturz bringen können.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Was ist eine Zip-Bombe? Definition, wie funktioniert es? | Gridinsoft

Was ist Zip Bomb?

October 02, 2022

Eine Zip-Bombe (Dekompressionsbombe, Todesarchiv) ist eine Art Virus, der aufgrund seines geringen Gewichts eine enorme Menge an Informationen enthĂ€lt, oft seiner GrĂ¶ĂŸe entsprechend.

Die klassische Zip-Bombe ist ein winziges Archiv, von dem das meiste in Kilobyte gemessen wird. Wenn diese Datei entpackt wird, ist ihr Inhalt wichtiger, als das System verarbeiten kann. Typischerweise sind dies Hunderte von Gigabyte an Daten, und die Fortgeschrittenen können Petabyte (Millionen GB) oder sogar Exabyte (Milliarden Gigabyte) erreichen. Also, ja, um das klarzustellen, wir sprechen davon, die Exkubiten in Kilobytes zu fĂŒllen.

Die erste ErwÀhnung einer Zip-Bombe stammt aus dem Jahr 1996. Einer der Benutzer des damals beliebten Messaging-Dienstes Fidonet postete auf dem Schwarzen Brett ein bösartiges Archiv, das ein ahnungsloser Administrator öffnete.

Wenn Sie eine Datei öffnen, werden alle Daten entpackt, was zum Absturz des Programms oder des gesamten Systems fĂŒhrt, da einfach nicht genĂŒgend Speicherplatz vorhanden ist, um diese Datenmenge zu entpacken.

42.zip - Eine klassische Zip-Bombe


Die hÀufigste Zip-Bombe, die Sie im Internet finden können, ist "42.zip". Es wiegt nur 42 Kb in gepackter Form.

Wenn Sie es jedoch entpacken, erhalten Sie auf dem Weg nach draußen 4,5 PetaBytes (36.000.000 GB) an Daten!

Dies wird durch ein rekursiv verschachteltes Zip-Dateisystem erreicht, bei dem die niedrigste Zip-Dateiebene auf eine GrĂ¶ĂŸe von 4,3 GB dekomprimiert wird. Die Konstruktion verwendet den gebrĂ€uchlichsten Dekomprimierungsalgorithmus, der mit den meisten Zip-Parsern kompatibel ist.

Zip Bomb Definition: Wie funktioniert es?

Das Prinzip der Zip-Bombe besteht darin, dass sie beispielsweise eine Textdatei erstellt, die entweder leer ist oder dieselben Symbole enthĂ€lt, und archiviert wird. Da die Datei dieselben Informationen enthĂ€lt, archiviert sie sich selbst und hat eine viel kleinere GrĂ¶ĂŸe als die anderen. Dann werden weitere 16 der gleichen Archive erstellt, aber da sie im Hash völlig identisch sind, werden sie wie eine einzige Datei sein und nichts wiegen. Dann weitere 16 Kopien, dann weitere 16 Kopien und so 6 mal. Letztendlich haben wir 6 Ebenen mit 16 Archiven, von denen jede 16 gleiche Archive hat.

Was ist Komprimierung?


Komprimierung ist die Verringerung der Anzahl von Bits, die zur Darstellung von Daten erforderlich sind. Sehen wir uns das genauer an:

| xxxyyyyxxxyxxxyxxx

Dieser String ist 18 Zeichen lang. Das xxx kommt oft vor. Dies wird als statistische Redundanz bezeichnet. Nehmen wir die lĂ€ngsten gemeinsamen Sequenzen in Daten und stellen sie mit so wenig Bits wie möglich dar. Das Komprimieren dieser Zeichenfolge bedeutet nun, dass wir diese Informationen in weniger als 18 Zeichen darstellen mĂŒssen. Ersetzen Sie jedes Vorkommen von „xxx“ durch ein Symbol, sagen Sie „$“ und sehen Sie, was passiert.

Nun verwenden wir eine (komprimierte) Zwischenzeichenkette zusammen mit einigen Anweisungen, wie man die ursprĂŒngliche Zeichenkette erhĂ€lt:

| $yyyy$y$y$
| $=xxx

Die erste Zeile enthĂ€lt unsere komprimierten Daten und die zweite - Anweisungen. Ein von uns erstelltes Wörterbuch sagt uns, dass wir, wenn wir die Daten dekomprimieren mĂŒssen, jedes Vorkommen von $ durch xxx ersetzen sollten, um die ursprĂŒnglichen Daten wiederherzustellen. Jetzt zĂ€hlen wir die Gesamtzahl der Zeichen.

Jetzt brauchen wir 10 + 5 = 15, um dieselbe Information darzustellen.

WofĂŒr wird Zip Bomb verwendet?

Da die Zip-Bombe das System nicht direkt beschĂ€digt, wird sie oft verwendet, um einen Fehler oder eine Deaktivierung des Programms zu verursachen, das versucht, darauf zuzugreifen. Es kann auch zum Deaktivieren von Antivirensoftware verwendet werden, um eine HintertĂŒr fĂŒr andere zu erstellen typische Malware.

Anstatt den regulĂ€ren Betrieb des Programms zu stehlen, ermöglicht die Zip-Bombe, dass das Programm wie beabsichtigt funktioniert. Dennoch ist das Archiv sorgfĂ€ltig entworfen, sodass das Entpacken (z. B. Antivirus-Scannen nach Viren) ĂŒbermĂ€ĂŸig viel Zeit, Speicherplatz oder Arbeitsspeicher (oder alles davon) in Anspruch nimmt. Zu diesem Zeitpunkt kann der Angreifer versuchen, das System mit einem echten Virus zu infizieren. Obwohl das Antivirenprogramm manchmal versucht, AnhĂ€nge zu scannen, beansprucht es alle Ressourcen des PCs, wodurch das System so stark belastet wird, dass eine weitere Verwendung des GerĂ€ts unmöglich wird.

Woher kommt die Reißverschlussbombe?

Es ist heutzutage fast unmöglich, sich einen solchen Virus versehentlich einzufangen. Die meisten modernen Antivirenprogramme haben gelernt, Zip-Bomben zu erkennen und zu neutralisieren, und in der Praxis ist die EffektivitÀt eines solchen Angriffs minimal.