Bomba Zip - O que é? Como funciona?

Um Zip Bomb ou "Descompression Bomb" é um arquivo malicioso que contém muitos dados repetidos que podem travar o programa que o lê.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

O que é uma Zip Bomb? Definição, como funciona? | Gridinsoft

O que é Zip Bomb?

October 17, 2022

Uma bomba zip (bomba de descompress√£o, arquivo da morte) √© um tipo de v√≠rus que, em seu baixo peso, cont√©m uma enorme quantidade de informa√ß√Ķes, muitas vezes seu tamanho.

A bomba zip cl√°ssica √© um arquivo min√ļsculo, a maioria dos quais √© medida em kilobytes. Quando este arquivo √© descompactado, seu conte√ļdo √© mais significativo do que o sistema pode manipular. Normalmente, s√£o centenas de gigabytes de dados, e os mais avan√ßados podem chegar a petabytes (milh√Ķes de GB) ou at√© exabytes (bilh√Ķes de gigabytes). Ent√£o, sim, para ser claro, estamos falando de preencher os excubites nos kilobytes.

A primeira menção de uma bomba zip é datada de 1996. Um dos usuários do então popular serviço de mensagens Fidonet postou no quadro de avisos um arquivo malicioso, que um administrador desavisado abriu.

Quando você abre um arquivo, ele começa a descompactar todos os dados, o que faz com que o programa ou todo o sistema falhe, pois simplesmente não há espaço suficiente para descompactar essa quantidade de dados.

42.zip - Uma bomba zip cl√°ssica


A bomba zip mais comum que você pode encontrar na Internet - é "42.zip". Ele pesa apenas 42 Kb em forma compactada.

No entanto, se você descompactá-lo, receberá 4,5 PetaBytes (36.000.000 GB) de dados ao sair!

Isso é obtido por um sistema de arquivos zip aninhados recursivamente, em que o nível de arquivo zip mais baixo é descompactado para o tamanho de 4,3 GB. A construção usa o algoritmo de descompactação mais comum, que é compatível com a maioria dos analisadores zip.

Definição de Zip Bomb: como funciona?

O princ√≠pio da bomba zip √© que ela cria, por exemplo, um arquivo de texto que est√° vazio ou cont√©m os mesmos s√≠mbolos e √© arquivado. Como o arquivo cont√©m as mesmas informa√ß√Ķes, ele se arquivar√° e ter√° um tamanho muito menor que os outros. Em seguida, outros 16 dos mesmos arquivos s√£o criados, mas como s√£o completamente id√™nticos no hash, ser√£o como um √ļnico arquivo e n√£o pesar√£o nada. Depois mais 16 c√≥pias, depois mais 16 c√≥pias, e assim 6 vezes. Eventualmente, temos 6 camadas de 16 arquivos, cada uma com 16 arquivos iguais.

O que é compactação?


A compacta√ß√£o √© a redu√ß√£o do n√ļmero de bits necess√°rios para representar os dados. Vejamos isso com mais detalhes:

| xxxaaaaxxxaxxxaxxx

Esta string tem 18 caracteres. O xxx pode ser encontrado muitas vezes. Isso √© o que √© conhecido como redund√Ęncia estat√≠stica. Vamos pegar as sequ√™ncias comuns mais longas nos dados e represent√°-las usando o menor n√ļmero de bits poss√≠vel. Agora, compactar essa string significa que temos que representar essa informa√ß√£o em menos de 18 caracteres. Substitua todas as ocorr√™ncias de 'xxx' por um s√≠mbolo, digamos '$' e veja o que acontece.

Agora usamos um formul√°rio de string intermedi√°rio (compactado) junto com algumas instru√ß√Ķes sobre como obter a string original:

| $aaaa$a$a$
| $=xxx

A primeira linha s√£o nossos dados compactados e a segunda - √© a instru√ß√£o. Um dicion√°rio que criamos nos diz que, se precisarmos descompactar os dados, devemos substituir todas as ocorr√™ncias de $ por xxx para recuperar os dados originais. Agora vamos contar o n√ļmero total de caracteres.

Agora precisamos de 10 + 5 = 15 para representar a mesma informação.

Para que serve o Zip Bomb?

Como a bomba zip não danifica diretamente o sistema, é frequentemente usada para causar uma falha ou desativação do programa que tenta acessá-lo. Ele também pode ser usado para desabilitar software antivírus para criar um backdoor para outros malware típico.

Em vez de roubar o funcionamento regular do programa, o zip-bomb permite que o programa funcione como pretendido. Ainda assim, o arquivo é cuidadosamente projetado, portanto, descompactá-lo (por exemplo, verificação antivírus em busca de vírus) leva uma quantidade excessiva de tempo, espaço em disco ou memória (ou tudo). Neste momento, o invasor pode tentar infectar o sistema com um vírus real. Embora às vezes na tentativa de verificar anexos, o antivírus consome todos os recursos do PC, carregando tanto o sistema que o uso posterior do dispositivo se torna impossível.

De onde vem a bomba zip?

√Č quase imposs√≠vel pegar um v√≠rus desses hoje em dia acidentalmente. A maioria dos antiv√≠rus modernos aprendeu a reconhecer e neutralizar bombas zip e, na pr√°tica, a efic√°cia de tal ataque √© m√≠nima.