Kompressionsbomben gefährden Antivirenscanner

Software Wie die Internetseite heise.de in Bezug auf eine Untersuchung des Sicherheitsdienstleisters AERAsec berichtet, sind aktuellen Antivirenscanner anfällig für sog. Kompressionsbomben. Dabei handelt es sich um eine sehr große Datei, die mit einem ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also beispielsweise gigantische "Null-Nummern", die irgendwo noch
versteckt einen Virus enthalten... Tja, ein weiterer Schwachpunkt für
Scanner...
 
Antwort auf den Kommentar von Meltdown84

es muss kein Virus enthalten sein. einfach eine mehrere Gigabyte grosse Datei aus gleichen Bytefolgen packen. Diese wird durch die Kompression sehr klein. Wenn der Virenscanner diese testen will, entpackt er sie. Manche entpacken diese auch nur ins RAM....und da die wenigsten user z.B. 4 GB RAM haben wird ausgelagert....und das dauert...und dauert....und dauert.....

Keine eigentlich Gefahr...aber nervig.
 
sachen gibts....
 
Und das es gerade das BZIP Format unter Linux ist, hehe....
 
Leute in diesem Fall hättet ihr besser Recherchieren sollen, denn es sind sehr wenige Antivirenscanner die noch auf diesen Trick reinfallen, der Trick ist ja schon Jahre alt und funktioniert nur noch bei absolut lächerlichen Virenscannern.
 
Naja, eben nicht. Die meisten Virenscanner schauen sich vor dem Entpacken eines Archivs den Header an. Ist die enthaltene Datei nicht zu groß, wird entpackt, ansonsten halt nicht. Bzip2 hat die benötigte Information nicht im Header und deshalb entpackt der Virenscanner immer. Auch Zip und Rar sind anfällig, wenn man den Header ändert. Und wie man auf den Seiten von AERAsec lesen kann, sind sehr viele populäre Virenscanner davon betroffen.
 
Antwort auf den Kommentar von MDK. Was verstehst du denn unter den meisten Virenscannern???? Die die ich bisher benützt habe fallen auf den billigen Trick nicht herein, z.B. Amavis, oder HB+EDV die prüfen während des entpackens wie groß die entpackte Datei ist, geht sie über ein bestimmtes limit oder ist sie zigmal verschachtelt, dann wird der Entpackvorgang einfach abgebrochen.
 
mit den meisten meint xylen wahrscheinlich den bekanntesten, die genannten von dir mdk, amvis und hb+edv sind ja nicht gerade sehr bekannt, vorallem amavis kennt kaum einer, ich denke da eher an NAV 2xxx oder McAfee.

MfG
CYA

iNsuRRecTiON
 
Naja, dass NAV Probleme mit Archiven hat ist ja bekannt, da muss man gar nichts künstlich aufblasen :P
 
also der Antivir ist jetzt wohl der Grund, warum meine eine Partition fast abschmiert, habe mehrere große gepackte dateien im Hauptordner.... mmh...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen