Gridinsoft Logo

Bomba Zip - O que é? Como funciona?

Um Zip Bomb ou "Descompression Bomb" é um arquivo malicioso que contém muitos dados repetidos que podem travar o programa que o lê.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, and Online Virus Scanner.

O que é uma Zip Bomb? Definição, como funciona? | Gridinsoft

O que é Zip Bomb?

October 17, 2022

Uma bomba zip (bomba de descompressão, arquivo da morte) é um tipo de vírus que, em seu baixo peso, contém uma enorme quantidade de informações, muitas vezes seu tamanho.

A bomba zip clássica é um arquivo minúsculo, a maioria dos quais é medida em kilobytes. Quando este arquivo é descompactado, seu conteúdo é mais significativo do que o sistema pode manipular. Normalmente, são centenas de gigabytes de dados, e os mais avançados podem chegar a petabytes (milhões de GB) ou até exabytes (bilhões de gigabytes). Então, sim, para ser claro, estamos falando de preencher os excubites nos kilobytes.

A primeira menção de uma bomba zip é datada de 1996. Um dos usuários do então popular serviço de mensagens Fidonet postou no quadro de avisos um arquivo malicioso, que um administrador desavisado abriu.

Quando você abre um arquivo, ele começa a descompactar todos os dados, o que faz com que o programa ou todo o sistema falhe, pois simplesmente não há espaço suficiente para descompactar essa quantidade de dados.

42.zip - Uma bomba zip clássica


A bomba zip mais comum que você pode encontrar na Internet - é "42.zip". Ele pesa apenas 42 Kb em forma compactada.

No entanto, se você descompactá-lo, receberá 4,5 PetaBytes (36.000.000 GB) de dados ao sair!

Isso é obtido por um sistema de arquivos zip aninhados recursivamente, em que o nível de arquivo zip mais baixo é descompactado para o tamanho de 4,3 GB. A construção usa o algoritmo de descompactação mais comum, que é compatível com a maioria dos analisadores zip.

Definição de Zip Bomb: como funciona?

O princípio da bomba zip é que ela cria, por exemplo, um arquivo de texto que está vazio ou contém os mesmos símbolos e é arquivado. Como o arquivo contém as mesmas informações, ele se arquivará e terá um tamanho muito menor que os outros. Em seguida, outros 16 dos mesmos arquivos são criados, mas como são completamente idênticos no hash, serão como um único arquivo e não pesarão nada. Depois mais 16 cópias, depois mais 16 cópias, e assim 6 vezes. Eventualmente, temos 6 camadas de 16 arquivos, cada uma com 16 arquivos iguais.

O que é compactação?


A compactação é a redução do número de bits necessários para representar os dados. Vejamos isso com mais detalhes:

| xxxaaaaxxxaxxxaxxx

Esta string tem 18 caracteres. O xxx pode ser encontrado muitas vezes. Isso é o que é conhecido como redundância estatística. Vamos pegar as sequências comuns mais longas nos dados e representá-las usando o menor número de bits possível. Agora, compactar essa string significa que temos que representar essa informação em menos de 18 caracteres. Substitua todas as ocorrências de 'xxx' por um símbolo, digamos '$' e veja o que acontece.

Agora usamos um formulário de string intermediário (compactado) junto com algumas instruções sobre como obter a string original:

| $aaaa$a$a$
| $=xxx

A primeira linha são nossos dados compactados e a segunda - é a instrução. Um dicionário que criamos nos diz que, se precisarmos descompactar os dados, devemos substituir todas as ocorrências de $ por xxx para recuperar os dados originais. Agora vamos contar o número total de caracteres.

Agora precisamos de 10 + 5 = 15 para representar a mesma informação.

Para que serve o Zip Bomb?

Como a bomba zip não danifica diretamente o sistema, é frequentemente usada para causar uma falha ou desativação do programa que tenta acessá-lo. Ele também pode ser usado para desabilitar software antivírus para criar um backdoor para outros malware típico.

Em vez de roubar o funcionamento regular do programa, o zip-bomb permite que o programa funcione como pretendido. Ainda assim, o arquivo é cuidadosamente projetado, portanto, descompactá-lo (por exemplo, verificação antivírus em busca de vírus) leva uma quantidade excessiva de tempo, espaço em disco ou memória (ou tudo). Neste momento, o invasor pode tentar infectar o sistema com um vírus real. Embora às vezes na tentativa de verificar anexos, o antivírus consome todos os recursos do PC, carregando tanto o sistema que o uso posterior do dispositivo se torna impossível.

De onde vem a bomba zip?

É quase impossível pegar um vírus desses hoje em dia acidentalmente. A maioria dos antivírus modernos aprendeu a reconhecer e neutralizar bombas zip e, na prática, a eficácia de tal ataque é mínima.