Mailbomben

Eine Archivbombe ist eine Datei, die per Datenkompression gepackt wurde und beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe annimmt.^[1] Die gepackten Inhalte können z. B. Grafikdateien mit dem immer gleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein. Solche Regelmäßigkeiten können außerordentlich stark komprimiert werden. Eine bekannte Archivbombe ist 42.zip. Fünf mal rekursiv gepackt, beträgt ihre Größe lediglich 42 Kilobyte, entpackt allerdings 4,5 Petabyte, also der hundertmillionenfachen Größe.^[2]

Wirkungsweise

Der vorwiegende Angriffsweg der Archivbomben sind E-Mails, denen sie als Anhang anhängen. Eine derartige E-Mail ist nicht sehr groß und stellt keinerlei auf den ersten Blick erkennbare Gefahr dar. Eine Firewall erkennt aufgrund ihrer Funktionsweise Archivbomben nicht, so dass sie als normale Dateianhänge in das Mailprogramm des Anwenders gelangen.

Archivbomen sind nicht primär dafür gedacht, von dem Benutzer entpackt zu werden, sondern zielen auf Antivirenprogramme ab: Diese scannen Dateien – auch solche innerhalb von Archiven – häufig schon beim Dateieingang. Dafür müssen die Archive in einen temporären Speicherbereich entpackt werden. Dabei besteht die Gefahr, dass die entpackten Dateien Arbeitsspeicher und/oder Festplatte füllen und das System gänzlich zum Stillstand bringen. Des Weiteren kann es passieren, dass viel Rechenzeit für den Scanvorgang aufgewendet wird. Der Angriff ist also der Versuch eines Denial of Service.^[1]

Die Abfrage der Größeninformation in den Attributen des Archivs ist nicht zielführend, da diese beispielsweise per Hex-Editor manipuliert sein können. Moderne Virenscanner erkennen aber Archivbomben anhand ihrer Signaturen und entpacken diese gar nicht erst.

Einzelnachweise

1. ↑ ^{a b} Glossareintrag bei Kaspersky Lab
2. ↑ Details zum Aufbau von 42.zip (engl.)