Conocemos bastante bien la cantidad y la calidad de los bichos digitales que flotan en la Web esperando a que un usuario baje la guardia para hacer estragos, pero también existen procedimientos que si bien no pueden ser calificados como malware puro, pueden tener algunos efectos bastante desagradables. Un clásico entre esos procedimientos es lo que se conoce como “bomba Zip”. A simple vista, parece un archivo comprimido común y silvestre, pero tiene el potencial de colapsar a un antivirus o de dejar sin recursos al ordenador que intenta descomprimirla.
-
-
Muchos virus vieron la luz a través de simples bromas, o como elemento en una competencia sana, pero esos ejemplos de malware suelen ser la excepción y no la regla. En estos días, cada vez que aparece una nueva alerta de malware es necesario chequear todas las medidas de seguridad disponibles en un sistema. Al mismo tiempo, otras expresiones reciente de malware han comenzado a tomarle el gusto a los dispositivos móviles, por lo tanto, la barrera entre las plataformas se está “derritiendo”. Más allá de esta situación, existen determinados mecanismos que pueden provocar un efecto similar al ataque de un malware, ya sea afectando el funcionamiento normal de un antivirus, o agotando los recursos disponibles en un ordenador.
El efecto de la bomba Zip, anulado por la intercepción de Avira
La bomba Zip es uno de ellos. La teoría detrás de la bomba Zip es extremadamente simple: Su objetivo es provocar que el proceso de descompresión demande una considerable cantidad de tiempo, memoria RAM y espacio en disco. Uno de los ejemplos más populares de bomba Zip, y que puede encontrarse en la Web, es el archivo 42.zip. Está formado por un grupo de 16 archivos Zip, y cada uno de ellos contiene otros 16 archivos Zip, repitiendo el proceso tres veces más hasta llegar al fondo de cada raíz, donde hay un archivo con un tamaño de 4.3 GB. Al estar compuesto de datos uniformes (por ejemplo, lleno de ceros), cuando la bomba Zip es comprimida tiene un tamaño final muy pequeño, apto para una distribución rápida.
Se sabe que algunas formas de malware utilizaron bombas Zip para “noquear” al antivirus instalado en el ordenador, y una vez interrumpido su funcionamiento, comenzar la infección. Si esto les recuerda a las llamadas “bombas de e-mail”, entonces están en lo correcto, ya que una bomba Zip es considerada como una variante de esa técnica que buscaba saturar casillas de entrada y servidores POP. El valor de una bomba Zip como método de ataque (y por lo tanto, el riesgo asociado) en la actualidad es bastante bajo. Cualquier antivirus que se considere decente puede determinar casi al instante si se trata de una bomba Zip o de un archivo comprimido legítimo. Pero si decides hacer la prueba y tu solución de seguridad queda fuera de combate, deberías cambiarla de inmediato. -
¿Y tú, qué opinas?
-
#1
-
#2Lisandro Pardo viernes, 05 de octubre de 2012, 11:04
#1 Trata de descomprimirlo en vez de analizarlo.
-
#3
-
#4
-
#5chapo viernes, 05 de octubre de 2012, 16:30
Como bien sabemos la base de datos de antivirus puede tener todos los malware pero si cambian algun detalle en el para la BD sera nuevo y no sera detectado, eso es sabido de siempre
-
#6Sliam viernes, 05 de octubre de 2012, 17:36
#5
En teoría chapo, para eso hay algoritmos dentro de los antivirus que tratan de verificar concordancias o similitudes entre los virus o malwares y/o su accionar. Muchos no actualizan las caracteristicas de los virus, sino estos algoritmos. -
#7
-
#8
-
#9Simplemente Yo viernes, 05 de octubre de 2012, 20:35
#8 tienes toda la razon es una verdadera Mie... esa Babylon UNA MIE...
-
#10
-
#11furbi963 sábado, 06 de octubre de 2012, 00:50
WTF el Avast no me detecto nada llegue hasta los 4GB y nada :(
-
#12Molusco sábado, 06 de octubre de 2012, 03:26
Es que no deberían detectar nada. Es un archivo, enorme, pero lleno de ceros. No hay... nada.
Es como intentar encontrar un insulto en un párrafo solamente escrito con la letra "A".
El criterio debería ser muy pero muy amplio, ya que si agregamos otro archivo mas o variamos el tamaño, o ponemos OTRO tipo de dato (F's en lugar de 0's) va a cambiar y ser otro subtipo de amenaza. -
#13Zoidberg sábado, 06 de octubre de 2012, 06:23
#11 Pues a mi me dio un alerta de "posible bomba de descompresion" al intentar descomprimir.
-
#14
-
#15
-
#16Demian sábado, 06 de octubre de 2012, 08:41
El que algunos sistemas de seguridad no detecten nada, no significa que sean malos, simplemente están dejando al azar demasiadas cosas en lo que a seguridad de sus sistemas se refiere.
Este tipo de ataques como se menciona en el artículo son de incidencia mínima actualmente, porque precisamente se espera que los sistemas de seguridad actuales sean capaces de lidiar con ellos, sin embargo podemos observar que no es así.
Precisamente este tipo de comportamiento es el que debe prevenir un sistema de seguridad, cuando al analizar un archivo no encuentre nada "sospechoso", pero al intentar ejecutarlo/extraerlo/procesarlo de alguna forma que requiera procesar la información ... Leer más -
#17Carlos Frias sábado, 06 de octubre de 2012, 10:39
#2 Debería detectarlo antes de descomprimirlo. ¿No sabes eso de mejor prevenir que curar?
-
#18
-
#19
-
#20EstoyConElJona sábado, 06 de octubre de 2012, 16:51
A ver, que alguien le haga caso al comentario 3 y 18, los de mi querido Jona, que yo tengo la misma duda. El archivo se descomprime por niveles, lo que no supone ningún tipo de peligro, al menos para el Jona y para mi.
Digan, si son tan amables, como se hace para exponer nuestros ordenadores al supuesto peligro del 42.zip
Gracias -
Cargando...
-
nuevo comentario
Nombre Campo obligatorio
Email Escriba una dirección de correo electrónico con el formato sunombre@ejemplo.com.
Campo obligatorio
-
