Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Les bombes et l’évolution de l’informatique

Lu par: 20172 Commentaires: 4 Cote de popularité: 10

lundi 24 juillet 2017

Dans la documentation Dr.Web Security Space, la liste des menaces que Dr.Web pour Microsoft Outlook peut détecter inclut les « virus bombes dans les fichiers et les archives ».

Il n’existe pas d’autres références à ces mystérieuses bombes, mais il fut un temps où il était vital de s’en protéger !

Il faut se rappeler qu’entres autres choses, un antivirus est un décompresseur versatile. Il analyse les fichiers et extrait les contenus des archives afin de détecter des virus ou des Chevaux de Troie.

Et c’est là que les problèmes peuvent apparaître. Par exemple, un fichier compressé peut nécessiter plus d’espace qu’il n’y en a sur un disque. Difficile à imaginer ? Pourtant, c’est relativement simple : prenez un fichier contenant uniquement des zéros et compressez-le. Le résultat sera un petit fichier consistant en une en-tête d’archive et une répétition de zéros. Comment pouvez-vous créer un fichier dont la taille dépassera la capacité du disque ? Vous ne pouvez pas, parce que les formats d’archivage classiques sont utilisés pour créer des archives automatiquement.

Les malwares qui ciblent les PC embarquent des logiciels appelés bombes-zip. Ce sont des archives zip contenant des fichiers dont la taille augmentera plusieurs fois s’ils sont extraits. Ainsi, une des bombes-zip les plus connues, 42.zip, occupe seulement 42 Ko, mais il contient un fichier de 5 niveaux d’emboîtement, avec 16 fichiers par niveau. La taille de chaque fichier au dernier niveau est de 4,3 Gb, et l’archive entière décompressée occupera 4,5 petabytes.

#drweb

http://pikabu.ru/story/arkhiv_smerti_1865622

http://muzey-factov.ru/5254

Les bombes ont été inventées il y a longtemps pour être envoyées avec des emails, mais elles sont devenues particulièrement populaires pour neutraliser les antivirus.

En essayant de décompresser une telle archive, le nœud récepteur était très susceptible d'atteindre la limite d'entrée du système de fichiers par volume (FAT-16) ou d’utiliser tout l’espace disponible avant la fin de la procédure de décompression. Certaines bombes mail contenues dans des archives zip et diffusées en pièces jointes de messages affichaient des objets et des textes très créatifs faisant que le fichier archive (pkunzip.exe) provoquait le crash ou le blocage de la machine. Beaucoup de nœuds opérant la nuit automatiquement, les bombes mail provoquaient un déni de service et les machines ne recevaient pas tous les emails qui leur étaient destinés le lendemain.

Quel peut être l’impact d’une erreur de traitement de données dans le module de décompression d’un antivirus ? Prenons l’exemple suivant.

Le nombre de niveaux d’emboîtement est un des problèmes clés. Habituellement, il en existe au maximum trois. Trouver dix niveaux d’emboîtement est très rare, mais techniquement, leur nombre peut être illimité. En règle générale, un logiciel de décompression opère de manière récursive : à chaque fois qu’il rencontre un nouveau niveau d’emboîtement, les données de l’environnement courant sont sauvegardées et le logiciel se relance. L’information sauvegardée occupe généralement un peu d’espace. Mais si le nombre de niveaux est proche de l’infini (les archives de ce type sont fabriquées manuellement et de préférence avec une erreur pour rendre l’extraction interminable), la zone de la mémoire du logiciel dédiée à la sauvegarde des données temporaires est pleine et le logiciel tente de sauvegarder les données en dehors des limites de cette zone…C’est ce qui peut provoquer le crash de l’application ou permettre l’exécution d’un code malveillant.

Versions touchées : Clam AntiVirus 0.88.3 and lower.

Description:
La vulnérabilité permet à un acteur distant de provoquer un déni de service ou d’exécuter un code arbitraire dans le système ciblé. Ceci est rendu possible à cause d’une erreur dans la routine de vérification des limites de la fonction "pefromupx()" dans la bibliothèque libclamav/upx.c. La bibliothèque est utilisée pour extraire les exécutables PE compressés par UPX. Un attaquant distant peut provoquer un dépassement de la mémoire tampon et exécuter un code arbitraire dans le système ciblé.

http://www.securitylab.ru/vulnerability/271803.php

Malheureusement, les bombes peuvent être utilisées pour d’autres actions que l’interruption du fonctionnement de l’antivirus. Imaginons, par exemple, que vous souhaitez regarder cette image .

spark.png.bz2

(420 bytes)

L’archive de 420 octets contient un fichier PNG occupant 6,132,534 octets (5,8 Mo) et une image dont la résolution est de 225 000х225 000 pixels (50 625 gigapixels). Dans un pixel buffer allouant trois octets par pixel, l’image occupera environ 141,4 Gb.

https://xakep.ru/2015/09/03/png-bomb

Le projet Lumières sur la sécurité recommande

A une époque, les disques durs avaient des capacités et une RAM qui ne dépassaient pas 640 Ko. Aujourd’hui, les disques sont beaucoup plus volumineux et des logiciels les protègent contre le dépassement la zone de la mémoire dédiée à la sauvegarde des données temporaires et contre le dépassement de la mémoire tampon. Malgré tout, certains cybercriminels continuent leurs recherches sur les bombes.

#drweb

Il existe environ 35 000 variantes, et pour seulement une catégorie !

Vous ne voulez pas voir de bombes atterrir dans vos emails ? Protégez votre système avec Dr.Web !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs