Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Dr.Web ne craint pas les bombes

Lu par: 19896 Commentaires: 11 Cote de popularité: 15

vendredi 2 août 2019

L'archivage de fichiers peut être utile non seulement pour les utilisateurs mais également pour les cybercriminels.

Mais qu’est-ce qu’une bombe zip ?

Ce sont des fichiers au format zip dont le volume est énormément plus important une fois décompressés. Par exemple, la taille d'une des bombes zip les plus connues portant le nom 42.zip est de 42 Ko. Mais cette archive contient 5 couches d’archives imbriquées dont chaque couche comprend 16 fichiers. La taille de chaque fichier au dernier niveau est de 4,3 Go et le volume de tout l'ensemble décompressé est de 4,5 Pétaoctets.

#drweb

Source

Un fichier qui contient un grand nombre de « valeur 1 » peut représenter une bombe primitive. Tandis que l’archive correspondante peut n’être qu'un petit fichier contenant l’indication d'enregistrer le chiffre 1 de très nombreuses fois. En conséquence, nous avons une petite archive mais le fichier lui-même est énorme.

Nous avons ici une « création » relativement simple. Récemment, un objet plus compliqué est apparu.

Cet article explique comment créer une bombe zip non récurrente. Le principe de son fonctionnement consiste à chevaucher des fichiers au sein d'un conteneur zip afin que l'on se réfère au noyau des données compressées dans plusieurs fichiers sans faire de copies multiples. La taille finale d'une telle bombe zip correspond à sa taille initiale au carré, autrement dit, le ratio de compression est meilleur si la taille de la bombe augmente.

Source

Comme on le sait, l'antivirus doit déballer tout jusqu'au bout.

Il faut au départ marquer un tel fichier comme malveillant et le supprimer. Il ne contiendra sans doute pas de fichiers sains.

Si l'antivirus ne déballe pas complètement les archives, il serait possible de cacher des fichiers malveillants à une certaine profondeur pour les transmettre à un ordinateur ciblé.

Tavis Ormandy pointe que VirusTotal pour zblg.zip contient un certain nombre de délais d'attente (timeout) (capture d'écran du 6 Juin 2019): AhnLab-V3, ClamAV, DrWeb, Endgame, F-Secure, GData, K7AntiVirus, K7GW, MaxSecure, McAfee, McAfee-GW-édition, Panda, Qihoo-360, Sophos ML, VBA32. Les Résultats pour zbsm.zip (capture d'écran du 6 Juin 2019) sont similaires, mais avec un autre jeu de moteurs tombé dans un délai d'attente: Baido, Bkav, ClamAV, CMC, DrWeb, Endgame, ESET-NOD32, F-Secure, GData, Kingsoft, McAfee-GW-Edition, NANO-Antivirus, Acronis.

Vérifions !

Attention ! Dans leurs commentaires sur l'article en question, nos lecteurs disent qu'un certain nombre de navigateurs commencent à décompresser les archives. Cela, pour des raisons évidentes, est risqué.

J'ai téléchargé un petit fichier de 5Go, Chrome a immédiatement commencé à le déballer, bien qu'il ne lui ait pas été demandé de le faire.

J'ai téléchargé. Chrome a planté le disque C et c'est uniquement après que j'ai supprimé le fichier qu'il a pu reprendre.

Il en est de même avec Yandex Browser.

Vivaldi, lui non plus, n'y peut rien. Le noyau est totalement occupé à traiter l’archive que le navigateur a planté.

Mais Edge le traite sans problème.

Nous avons téléchargé les fichiers avec Firefox.

L'article propose trois variantes de nouvelles bombes :

  • zbsm.zip 42 Ko → 5.5 Go
  • zblg.zip 10 Mo → 281 To
  • zbxl.zip 46 Mo → 4.5 Pp (Zip64, moins compatible avec les parseurs)

Nous les vérifions un par un.

#drweb

Nous n'allons pas donner les résultats pour toutes les archives. Voici le résultat pour zbsm :

#drweb

Dans une archive, on a trouvé un virus :

#drweb

Aucun plantage n'a eu lieu.

#bombe

Le projet Lumières sur la sécurité recommande

Utilisez Dr.Web Antivirus, il vérifie même les fichiers dissimulés derrière des packers inconnus. Les bombes ne nous font pas peur !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs