Berta Sándor

Tömörített fájlcsomagok - a vírusirtók rémei?

A vírusirtó szoftverek érzékenységét vizsgálta az úgynevezett "tömörített fájlbombákkal" szemben a német AERAsec cég.

A "tömörített fájlbomba" elnevezés azokat az úgynevezett Denial-of-Service támadásokat jelöli, amelyeket "bzip2" tömörítésű adatcsomagokkal hajtanak végre. A "fájlbombák" általában nagyon nagy mennyiségű adat esetén keletkeznek, például képzeljünk el 2 GB-nyi nulla számjegyet. A végső, látszólag kis méretű adatnak elsőre senki sem tudja megmondani az igazi méretét. Csupán a fájl kicsomagolásakor döbbenünk rá, mekkora adatcsomagot is kaptunk.

Ahhoz, hogy egy vírusirtó át tudjon vizsgálni egy tömörített fájlt, ki kell tudnia csomagolnia azt. Szerencsére - mivel a "fájlbombák" már egy ideje léteznek - a fejlesztők a legtöbb vírusirtó szoftvert felkészítették ezekre. A programok a kicsomagolás előtt lekérdezik a ZIP-adatokban lévő információkat, amelyekből kiderül, mekkora is volt a fájl eredetileg. Amennyiben a csomag mérete átlép egy határt, automatikusan karanténba kerül.

Sajnos vannak azonban olyan alkalmazások, amelyek nem a fent leírt módon járnak el. Ilyen szoftver a Kaspersky Anti-Virus for Linux 5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 és a McAfee Virus Scan for Linux 4.16.0. Könnyen feltételezhető azonban, hogy más programokat is érint ez a probléma. Rossz belegondolni, hogy mennyi erőforrást köt le egy akkora csomag átvizsgálása és amennyiben a vírusirtót például e-mailek szkennelésére használjuk, akkor ez utóbbi feladat könnyen elvégezhetetlenné válik. Elméletileg tehát az egyetlen védekezési megoldás a bzip2-adatokhoz való hozzáférés blokkolása.

Dr. Peter Bieringer, a vizsgálatot végző AERAsec-munkatárs ugyanakkor rávilágított még egy problémára: lehetőség van a ZIP-adatok úgynevezett header-információinak meghamisítására. Ez egy hagyományos hexaeditorral elvégezhető. Amennyiben egy vírusirtó csak a header-információkat vizsgálja át és nem az aktuális fájlméretet, akkor a program ugyanúgy kijátszható.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Pheel #6
    Engedd rá többször! Én egy 1.9GB-os csupanulla állományból 3x-os zip tömörítéssel csináltam 512!!! byteot.
  • Vik1984 #5
    P.S.: gzip 128 megányi nullát 128 kilósra tömöríti. 1024-szeres tömörítés, király :-)
  • Vik1984 #4
    Vagy pedig hiteles forrásból kell letölteni, és nem megnyitni minden sz@rt :-)