Archivbombe (Zip-Bombe)
Wenn eine Archivbombe, auch als Zip-Bombe oder Dekomprimierungsbombe bezeichnet, geöffnet wird, kann sie das Programm, in dem sie geöffnet wird zum Absturz bringen. Häufig wird dann das restliche System in Mitleidenschaft gezogen. Die bösartige Archivdatei enthält eine sehr große Menge an komprimierten Daten. Eine Dekompressionsbombe wird oft verwendet, um ein Antivirenprogramm zu deaktivieren.
Eine Dekompressionsbombe kann eine Zip-Datei, eine komprimierte Installationsdatei oder eine ausführbare Datei sein. Eine bekannte Zip-Bombe ist eine Zip-Datei namens „42.zip“. Die Datei ist nur ein paar KByte groß, aber wenn sie dekomprimiert wird, verbraucht sie bis zu 4,5 PByte Speicherplatz auf der Festplatte.
So funktioniert eine Archivbombe
Die klassische Dekomprimierungsbombe ist eine winzige Zip-Archivdatei, die meist nur wenige Kilobyte Dateigröße aufweist. Aber der Inhalt der Datei, wenn sie entpackt wird, ist mehr, als viele Systeme verarbeiten können. Eine typische Zip-Bomben-Datei kann sich zu Hunderten von Gigabytes nutzloser Daten entpacken. Es wird daher in diesem Zusammenhang auch von Zip-of-Death-Angriffen gesprochen.
Hochentwickelte Dekomprimierungsbomben-Dateien können Millionen oder sogar Milliarden von Gigabytes umfassen – und somit Petabytes und Exabytes erreichen. Anstatt den normalen Betrieb eines Programms zu stören, lässt eine Dekompressionsbombe das Programm so arbeiten, wie es eigentlich funktionieren sollte. Die Archivdatei ist jedoch so beschaffen, dass das Entpacken übermäßig viel Zeit, Speicherplatz und Arbeitsspeicher erfordert.
Wie Archivbomben eingesetzt werden
Dekomprimierungsbomben werden in der Regel aus wenig redlichen Absichten eingesetzt. Bedrohungsakteure verwenden Zip-Bomben, um die Antivirensoftware eines Systems zu deaktivieren. Nach der Deaktivierung können Hacker auf das System zugreifen und es mit anderer Malware infizieren - einschließlich Viren, Spyware und Ransomware.
Zip-of-Death-Angriffe werden hauptsächlich eingesetzt, um Virenscanner zu beschäftigen. Antiviren-Software prüft den Inhalt komprimierter Archivdateien, um sicherzustellen, dass sie keine Schadsoftware enthalten. Aufgrund der Beschaffenheit von Zip-Bomben kann es jedoch Tage dauern, bis der Virenscanner sie überprüft hat. Der Virenscanner kann sogar den gesamten Systemspeicher in Beschlag nehmen oder abstürzen, wenn er eine rekursive Dekompressionsbomben-Datei überprüft.
Während sich der Virenscanner mit der Dekompressionsbombe beschäftigt, kann sich andere bösartige Software einschleichen und das System infizieren.
Eine Archivbombe erkennen
Die meisten modernen Antivirenprogramme können Zip-Bomben erkennen, indem sie nach sich überlagernden Dateien suchen. Sie wissen, dass sie nicht Schicht um Schicht rekursiver Daten entpacken können, was ein Hinweis auf eine Dekomprimierungsbombe ist.
Eine Dekompressionsbombe an sich verursacht nicht die gleichen Schäden am System wie ein herkömmlicher Computervirus. Das Öffnen einer Datei, die als Dekompressionsbombe gekennzeichnet ist, führt jedoch dazu, dass sich das System sofort aufhängt und schließlich abstürzt und Datenverluste verursacht.