Kompressionsbomben gefährden Antivirenscanner

Wie die Internetseite heise.de in Bezug auf eine Untersuchung des Sicherheitsdienstleisters AERAsec berichtet, sind aktuellen Antivirenscanner anfällig für sog. Kompressionsbomben. Dabei handelt es sich um eine sehr große Datei, die mit einem Kompressionstool gepackt wurde. Durch einen bestimmten Aufbau dieser großen Datei, beispielsweise nur Nullen, kann diese sehr stark komprimiert werden. Damit ein Antivirenscanner das Objekt untersuchen kann, muss es temporär entpackt werden. Je nach Schnelligkeit des Systems kann dies enorm viel Zeit in Anspruch nehmen, da ja jetzt wieder die große Datei zum Vorschein kommt. Teilweise stürzen die Antivirenscanner dabei ab.

Bei den gängigen Formaten (Zip, Rar, ...) werden Informationen über die ursprüngliche Größe in der Datei gespeichert. Ein Virenscanner liest diese aus und reagiert entsprechend der erhaltenen Information. Bei dem vor allem unter Linux verwendeten Format Bzip2 findet man keine Angabe zur eigentlichen Größe der enthaltenen Datei. Ein Antivirenscanner muss sie also entpacken und es kommt zum o.g. Problem.

Doch auch Zip-Dateien können diese Probleme verursachen. Mit einem gewöhnlichen Hex-Editor lässt sich der Header verändern und der Antivirenscanner lässt sich in die Irre führen.