¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Tenemos Dr.Web para afrontar bombas

Consultas: 1193 Comentarios: 9 Ranking: 14

miércoles 17 de julio de 2019

La compresión de archivos puede ser cómoda no solo para usuarios ordinarios, sino también para ciberdelincuentes.

Ya hemos mencionado las así llamadas bombas zip en las ediciones «Bombas y evolución» y «Es una bomba». Vamos a recordar qué es.

Son archivos comprimidos de formato .zip que al descomprimirse se aumentan muchísimo. Por ejemplo, el tamaño de una de las bombas zip más conocidas llamada 42.zip es de solo 42 KB, así mismo, el archivo comprimido contiene 5 capas d archivos comprimidos, 16 archivos para cada nivel. El tamaño de cada archivo al último nivel es de 4,3 GB, y todo el archivo descomprimido es de petabytes.

#drweb

Fuente

Una bomba primitiva puede ser, por ejemplo, un archivo de unidades varias veces repetidas. Y el archivo archivado es un pequeño archivo donde se indica que hay que grabar el número 1 en el archivo muchas veces. Como resultado, el archivo archivado es pequeño, y el archivo mismo el enorme. Todo es fácil.

Pero es una realización fácil. Hace poco apareció una realización más complicada.

En este articulo puede consultarse cómo crear una bomba zip no recursiva. La misma funciona al solapar los archivos en el contenedor zip para referirse al “núcleo” de los datos bastante comprimidos en varios archivos sin hacer varias copias. El tamaño resultante de la bomba zip crece de forma cuadrática en relación al tamaño de entrada, es decir, la medida de compresión se mejora al aumentarse el tamaño de la bomba.

Fuente

Como sabemos, el antivirus debe descomprimirlo todo hasta el final.

Este archivo debe ser marcado como nocivo enseguida y eliminado. Seguramente no contendrá archivos legales.

Si el antivirus no descomprime los archivos completamente, será posible transferir los archivos nocivos al equipo atacado, al ocultarlos al nivel de compresión más profundo.

Tavis Ormandy indica que en VirusTotal para zblg.zip hay un conjunto de timeouts (copia de pantalla de 6 de junio de 2019): AhnLab-V3, ClamAV, DrWeb, Endgame, F-Secure, GData, K7AntiVirus, K7GW, MaxSecure, McAfee, McAfee-GW-Edition, Panda, Qihoo-360, Sophos ML, VBA32. Los resultados para (copia de pantalla de 6 de junio de 2019) son similares, pero hay oro conjunto de motores de timeout: Baido, Bkav, ClamAV, CMC, DrWeb, Endgame, ESET-NOD32, F-Secure, GData, Kingsoft, McAfee-GW-Edition, NANO-Antivirus, Acronis.

¡Vamos a comprobarlo!

¡Atención! En los comentarios del artículo mencionado los lectores mencionan que algunos navegadores empiezan a descomprimir los archivos enseguida. Lo cual es peligroso por causas obvias.

He descargado el archivo más pequeño de 5GB, Chrome empezó a descomprimirlo enseguida, aunque nadie se lo pidió.

Pero yo lo descargué. Chrome suspendió la unidad Cy fue muy difícil resolverlo.

Lo mismo con Yandex Browser.

Vivaldi tampoco puede resolverlo. Un núcleo entero fue cargado para el procesamiento y está suspendido.

Pero Edge lo consiguió sin ningún problema.

Hemos descargado los archivos con Firefox.

En el artículo se ofrecen tres opciones de nuevas bombas:

  • zbsm.zip 42 KB → 5.5 GB
  • zblg.zip 10 MB → 281 TB
  • zbxl.zip 46 MB → 4.5 PB (Zip64, menos compatible con parsers)

Vamos a escanearlos uno por uno.

#drweb

No vamos a presentar resultados para todos los archivos. Aquí tenemos un resultado para zbsm:

#drweb

Hasta fue localizado un virus en un archivo archivado:

#drweb

No se ha producido ninguna suspensión.

#bomba

El mundo de antivirus recomienda

Use el antivirus Dr.Web que escanea hasta los archivos comprimidos por comprimidores desconocidos. ¡Podemos afrontar las bombas también!

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios