Lisandro Pardo
Conocemos bastante bien la cantidad y la calidad de los bichos digitales que flotan en la Web esperando a que un usuario baje la guardia para hacer estragos, pero también existen procedimientos que si bien no pueden ser calificados como malware puro, pueden tener algunos efectos bastante desagradables. Un clásico entre esos procedimientos es lo que se conoce como “bomba Zip”. A simple vista, parece un archivo comprimido común y silvestre, pero tiene el potencial de colapsar a un antivirus o de dejar sin recursos al ordenador que intenta descomprimirla.
Muchos virus vieron la luz a través de simples bromas, o como elemento en una competencia sana, pero esos ejemplos de malware suelen ser la excepción y no la regla. En estos días, cada vez que aparece una nueva alerta de malware es necesario chequear todas las medidas de seguridad disponibles en un sistema. Al mismo tiempo, otras expresiones reciente de malware han comenzado a tomarle el gusto a los dispositivos móviles, por lo tanto, la barrera entre las plataformas se está “derritiendo”. Más allá de esta situación, existen determinados mecanismos que pueden provocar un efecto similar al ataque de un malware, ya sea afectando el funcionamiento normal de un antivirus, o agotando los recursos disponibles en un ordenador.
La bomba Zip es uno de ellos. La teoría detrás de la bomba Zip es extremadamente simple: Su objetivo es provocar que el proceso de descompresión demande una considerable cantidad de tiempo, memoria RAM y espacio en disco. Uno de los ejemplos más populares de bomba Zip, y que puede encontrarse en la Web, es el archivo 42.zip. Está formado por un grupo de 16 archivos Zip, y cada uno de ellos contiene otros 16 archivos Zip, repitiendo el proceso tres veces más hasta llegar al fondo de cada raíz, donde hay un archivo con un tamaño de 4.3 GB. Al estar compuesto de datos uniformes (por ejemplo, lleno de ceros), cuando la bomba Zip es comprimida tiene un tamaño final muy pequeño, apto para una distribución rápida.
Se sabe que algunas formas de malware utilizaron bombas Zip para “noquear” al antivirus instalado en el ordenador, y una vez interrumpido su funcionamiento, comenzar la infección. Si esto les recuerda a las llamadas “bombas de e-mail”, entonces están en lo correcto, ya que una bomba Zip es considerada como una variante de esa técnica que buscaba saturar casillas de entrada y servidores POP. El valor de una bomba Zip como método de ataque (y por lo tanto, el riesgo asociado) en la actualidad es bastante bajo. Cualquier antivirus que se considere decente puede determinar casi al instante si se trata de una bomba Zip o de un archivo comprimido legítimo. Pero si decides hacer la prueba y tu solución de seguridad queda fuera de combate, deberías cambiarla de inmediato.
He descargado el archivo 42.zip y lo he analizado con Microsoft Security Essentials y… ¡SORPRESA! ¡No detectó nada!
Tendré que considerar cambiar de antivirus…
#1 Trata de descomprimirlo en vez de analizarlo.
#2 Debería detectarlo antes de descomprimirlo. ¿No sabes eso de mejor prevenir que curar?
Al descomprimirlo no hace nada, descomprime todos los otros zips, que es lo normal (que yo sepa). Así que, como demonios se hace para que descomprima el primer zip y los zips en subdirectorios?
** He usado el 7zip para hacer la prueba
a la hora de bindear archivos, uno como atacante, debe saber también que obviamente hay antivirus que no detectan muchos virus, o mejor aun, código malicioso, he ahí donde uno aprovechas estas hermosas bombas 🙂
Como bien sabemos la base de datos de antivirus puede tener todos los malware pero si cambian algun detalle en el para la BD sera nuevo y no sera detectado, eso es sabido de siempre
#5
En teoría chapo, para eso hay algoritmos dentro de los antivirus que tratan de verificar concordancias o similitudes entre los virus o malwares y/o su accionar. Muchos no actualizan las caracteristicas de los virus, sino estos algoritmos.
Ahora quiero saber, el archivo de 4.3 GB, es el DVD con las pruebas de quien mato a Kennedy???
y quien detiene al troyano malware virus israeli conocido como Babylon y sus variantes tool bar para firefox, mozilla, IE, etc
#8 tienes toda la razon es una verdadera Mie… esa Babylon UNA MIE…
Quien dijo que Microsoft S.E no funciona ?
http://goo.gl/xVEWc
A mi si me detecto una "amenaza" 😀
Bien por Mocosoft 😀
WTF el Avast no me detecto nada llegue hasta los 4GB y nada 🙁
#11 Pues a mi me dio un alerta de "posible bomba de descompresion" al intentar descomprimir.
Es que no deberían detectar nada. Es un archivo, enorme, pero lleno de ceros. No hay… nada.
Es como intentar encontrar un insulto en un párrafo solamente escrito con la letra "A".
El criterio debería ser muy pero muy amplio, ya que si agregamos otro archivo mas o variamos el tamaño, o ponemos OTRO tipo de dato (F’s en lugar de 0’s) va a cambiar y ser otro subtipo de amenaza.
Efectivamente, el Avira lo detecta como una amenaza no bien lo intente abrir. ‘BOMB/ArBomb.B’.
Avira salta al toque……. BOMB/ArBomb.B
El que algunos sistemas de seguridad no detecten nada, no significa que sean malos, simplemente están dejando al azar demasiadas cosas en lo que a seguridad de sus sistemas se refiere.
Este tipo de ataques como se menciona en el artículo son de incidencia mínima actualmente, porque precisamente se espera que los sistemas de seguridad actuales sean capaces de lidiar con ellos, sin embargo podemos observar que no es así.
Precisamente este tipo de comportamiento es el que debe prevenir un sistema de seguridad, cuando al analizar un archivo no encuentre nada "sospechoso", pero al intentar ejecutarlo/extraerlo/procesarlo de alguna forma que requiera procesar la información contenida en el mismo haya algo que indique un intento de ataque.
Se supone que tecnologías como la de heurística deberían ser capaces de detectar este tipo de amenazas, sin embargo ningún sistema de seguridad es infalible.
Excelente artículo!
Como he dicho antes.. como haceis para que os lo detecte y empiece a descomprimir? tengo Avast y 7zip y me descomprime solo un nivel…
y los que usamos linux, porque el antivirus no nos dice nada? ohh wait…
A ver, que alguien le haga caso al comentario 3 y 18, los de mi querido Jona, que yo tengo la misma duda. El archivo se descomprime por niveles, lo que no supone ningún tipo de peligro, al menos para el Jona y para mi.
Digan, si son tan amables, como se hace para exponer nuestros ordenadores al supuesto peligro del 42.zip
Gracias
Y por que este tipo de archivo no se ocupa para comprimir descargas? talvez entendi mal 😀
Windows Defender en Windows 8 sí lo detectó (el windows defender de Win8 es el mismo Security Essentials, no confundir con el horroroso defender que venía en vista y 7)
En mi caso el mismo Mozilla Firefox me advirtio del peligro de descargar el 42.zip con un mensaje asi:
The file contains 16 zipped files, which again contains 16 zipped files, which again contains 16 zipped files, which again contains 16 zipped, which again contains 16 zipped files, which contain 1 file, with the size of 4.3GB.
So, if you extract all files, you will most likely run out of space 🙂
16 x 4294967295 = 68.719.476.720 (68GB)
16 x 68719476720 = 1.099.511.627.520 (1TB)
16 x 1099511627520 = 17.592.186.040.320 (17TB)
16 x 17592186040320 = 281.474.976.645.120 (281TB)
16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)
De todas formas lo descargue a mi PC, me marco un tamaño de 41.8 KB
Cuando lo quize descomprimir con el WinRAR, fallo el proceso. El WinRAR marco errores como metodos desconocidos en librerias y no paso de ahi. Bueno esa fue mi experiencia.