Zip-бомбы для антивирусов?

[dastapov]

Помнится, в стародавние времена, когда модемы были большие, а скорости - маленькие, жил-был на свете FIDOnet. Если кто не застал или не в курсе - это такое почти-uucp, придуманное гомосексуалистами для обмена сообщениями личного свойства по коммутируемым линиям. Впрочем, как и многие вещи, придуманные гомосексуалистами для гомосексуалистов (примеры: sendmail, мужские джинсы с низкой талией и reference-архитектура сетей EV-DO rev.0), FIDOnet очень скоро стал использоваться всеми подряд.

Посылаемые друг другу сообщения передавались между узлами в виде "пакетов", упакованных каким-то распространенным архиватором - как правило, использовался ZIP, реже - RAR. Именно на этой технической особенности и базировалась милая дружеская шутка, называемая "мейл-бомба". Брался громаааааадный файл (мегабайт на 80), состоящий из одних нулей (вариант - множество файлов нулевой длины), и упаковывался. Получался архив килобайт на 400-500. Этим архивом заменялся один из исходящих пакетов с почтой.

Узел-получатель, пытаясь распаковать такой архив, с большой вероятностью либо исчерпывал лимит файловой системы (FAT-16) на кол-во имен файлов на одном разделе. либо занимал все свободное место в процессе распаковки. А, кажется, еще были мейл-бомбы в виде zip-архива с творчески подправленным заголовком и телом, которые приводили к тому, что архиватор (pkunzip.exe) либо вешал компьютер, либо "падал". Поскольку многие узлы работали по ночам в "автопилоте", получение мейл-бомбы приводило к "отказу в обслуживании" и оставляло владельца узла без свежей порции почты на следующий день. И вызывало какие-то ответные действия - crash-poll, задалбывание соседского areafix-а, подписывание шутника на ru.sex, достопамятный TBH или вообще все конференции без разбору и т.п.

Впрочем, достаточно ностальгии. Вот какой у меня возник вопрос - сейчас по сети ходит немерянное кол-во вирусов, рассылающих себя по почте в виде зараженных exe-шников, зачастую - в архиве. Соответственно, все распространенные сканеры умеют в архивы заглядывать. Интересно, возможно ли создать и подсунуть сканеру аналог фидошной "мейл-бомбы", которая приведет к каким-то нежелательным последствиям для сканера (в идеале - отказ в обслуживании)? Были ли подобные прецеденты?

Comments

[nepilsonis.livejournal.com]

У всех известных мне антивирусов есть лимиты на эти штуки. Известны так же и соответствующие баги в распаковщиках, которые патчились.

[neograff.livejournal.com]

нет.

[aaz-2.livejournal.com]

Спрячь!
Спрячь немедля файл-бомбы в 10 гиг в 100кб!

БТВ, тоссеры (даже фаста), при рейтинге сжатия 4:1 пакеты браковала.
Правда, это надо было тюнить, да ;)

[neograff.livejournal.com]

ладно, надо, наверное, развить мысль.

дело в том, что любой архив, проверяемый сканером, распаковывается в pagefile, а его объём, как водится, имеет верхний лимит if архив в распакованном виде больше объёма пэйджа else архив проверяется частями. сканер же повесить и вовсе нереально — он проверяет код только по нескольким признакам. будь он хоть террабайтным.

[greg-shutdown.livejournal.com]

Вообще нет. Только если не сделать какой-то полуживой заголовок и найти где-то Buffer Overflow. Что совсем уж маловероятно..
Хотя если пакануть паругигабайтный файл с "нулями" в пару сотен кб (вполне реально, если кто-то сомневается т.к. сам видел в инете) и назвать файл xxx.jpg то юзверю может долго распаковывать ничто.. если не забьет себе винт, что в наши дни о 700 гиговых винтах так-же маловероятно..
Эх.. )

[hadazhka.livejournal.com]

Ничто не ново под луной: http://www.securitylab.ru/vulnerability/271803.php
А ClamAV очень популярен именно в связке с почтовыми программами. И таких уязвимостей у него достаточно. Пол интернета этим конечно не положишь, но конкретному почтовику который обслуживает не пойми кто, вполне можно нагадить при желании.

[ex-flamy745.livejournal.com]

Вот это действительно весело, можно например отослать файл размером с терабайт, наверное получится неплохой denial of service, так как сканер будет его долго сканировать, или у его закончиться память.

Я не удержался и написал такую бомбочку:
dd if=/dev/zero bs=1G count=2 | zip -9 test.zip -
Правда файл почему-то получается 2Mb, может быть его еще раз зазиповать?

[(Anonymous)]

Вообще то все давно починили
# Files in archives larger than this limit won't be scanned.
# Value of 0 disables the limit.
# Default: 10M
# Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR
# file, all files within it will also be scanned. This options specifies how
# deep the process should be continued.
# Value of 0 disables the limit.
# Default: 8
#ArchiveMaxRecursion 9

# Number of files to be scanned within an archive.
# Value of 0 disables the limit.
# Default: 1000
#ArchiveMaxFiles 1500

# If a file in an archive is compressed more than ArchiveMaxCompressionRatio
# times it will be marked as a virus (Oversized.ArchiveType, e.g. Oversized.Zip)
# Value of 0 disables the limit.
# Default: 250

[Арсений Фёдоров (from livejournal.com)]

Вообще, правильная мейл-бомба делалась чуть веселее - это несколько [десятков] тысяч пустых нетмейлов минимальной длины (каждый буквально несколько байт) в одном пакете. Генерилось это счастье специальной софтиной.

Распаковка и обработка (а нетмейлы, если помнишь, хранились каждый отдельным файлом) вызывало очень быстрое заполнение диска, ибо каждый файл, будь он даже в один байт, хранился в одном кластере.

[(Anonymous)]

в продолжении - сделал dd if=/dev/zero bs=1G count=2 | zip -9 test.zip -
послал:

Apr 11 09:17:33 mail amavis[16299]: (16299-05) Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) NOTICE: Virus scanning skipped: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) spam_scan: not wasting time on SA, message longer than 204800 bytes: 535+2818528
Apr 11 09:17:33 mail amavis[16299]: (16299-05) NOTICE: HOLD reason: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) DEFANGING MAIL: WARNING: possible mail bomb, NOT CHECKED FOR VIRUSES:\n Exceeded storage quota 314572800 bytes by...
Apr 11 09:17:33 mail amavis[16299]: (16299-05) Inserting header field: X-Amavis-Hold: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) Inserting header field: X-Amavis-Modified: Original mail wrapped as attachment (defanged) by mail

пришло письмо с добавленным сообщением о том что :
WARNING: possible mail bomb, NOT CHECKED FOR VIRUSES:
Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes



Так что, все отлично

[(Anonymous)]

Сейчас в связке amavisd+clam есть ограничение на количество файлов в архиве :)

[selfmade.livejournal.com]

Уже не помню какая но была, была защита против mail bomb. Это я тебе как 2:5010/200 говорю.

[hadazhka.livejournal.com]

Да речь не про данную конкретную уязвимость, а то, что проблем сделать сейчас мейл-бомбу нет никаких. Но массовости достигнуть не удастся из-за большой диверсификации почтовых серверов.

[enemo.livejournal.com]

а можно так это тезисно, в двух словах, что за reference-архитектура такая гомосексуальная у EV-DO?

[ex-flamy745.livejournal.com]

да я бы не сказал.

Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes

Значит максимум памяти выдающееся на обработку письма - 300Мб. Что если сообщение меньше 300Мб, это конечно не так болезненно, но все же должно быть неприятно для адресата. Между прочим если антивирус тратит такое огромное количество памяти на обработку каждого письма, что если забросать его десятком-другим писем, пускай они стоят в очереди, и он их обрабатывает, неплохая DoS атака может получится. А если этот антивирус работает в multithreaded режиме, так он тогда должен до полного ухода в свап.

[filonov.livejournal.com]

Кроме отдельных багов - не было. Ибо объем распакованного принято проверять перед проверкой.

PS: Тема гомосексуалистов, на предмете sendmail'а не раскрыта :)

[bamsic.livejournal.com]

Я знаю, что один раз повесил наш почтовый сервер в институте таким образом: послал порядка 10000 мелких писем с неправильным адресом получателя и отправителя.

Это привело к тому, что на остальную почту не осталось времени, а сервер занялся пересылкой этих писем взад-вперед. Если адресат не найден, то сервер отправителю шлет письмо с копией исходного о невозможности доставить письмо, т.к. и адрес отправителя отсутствует, то идет очередной ответ с невозможностью доставить и т.д.

Ну вообщем сервак останавливали, а очередь чистили уже вручную... :)

PS.
Если честно, это я не специально - так получилось...

[shaman007.livejournal.com]

Раньше работало, сейчас у всех есть защита от этого.

[blacklion.livejournal.com]

+1

[blacklion.livejournal.com]

Да, кстати!

[bolk.livejournal.com]

Можно, и даже подсовывали. Но теперь антивирусы умеют это дело определять и рассказывать о таких файлах пользователю.

[dil.livejournal.com]

У DrWeb'а есть ограничение на длину распаковываемого файла и максимальную степень компрессии. Если больше - он такой файл не проверяет. Видать, его создатели тоже про аркмейловые бомбы слышали :)

[(Anonymous)]

Такое было в qmail как то... было потрачено 60гигов :) предже чем успели понять что к чему :))))

[(Anonymous)]

ну насколько я понимаю этот размер тоже регулируется.

[4vanger.livejournal.com]

там ещё много подобных шуток было - например запароленный архив под видом пакета - архиватор замирает с запросом пароля до утра.
Но все эти хаки лечились дефолтной настройкой архиваторов.
А в качестве прикола можно было под видом мейл-бандла отсылать тот самый файл на 10 метров из нулей с расширением zip. Удивлённый нод смотрел как CPS на файл доходит до 20-30 килобайт в секунду (компрессия данных модемом)

[userad.livejournal.com]

На самом деле мейлбомб было очень много, некоторые правили содержимое архива чтоб 2 файла имели одинаковое имя. Но уже под конец моего участия в сети это всё было довольно хорошо защищено ... обычно под конец просто несколькими модемами людям забивали линию или на крайняк просто будили, если атаковали поинтов ... А с касперским был такой года 4 назад ... когда у него монитор умирал на определённом архиве.

[http://users.livejournal.com/_adept_/]

Блин! Как я мог ТАКОЕ забыть :(

Сидел же, специально вспоминал ...

[kastaneda]

Всё-таки не TVN, а TBH, потому как (латиницей) сокращение от названия эхи TYT.BCE.HACPEM :)

[alexott.livejournal.com]

давно уже сделана такая защита - практически у всех производителей content-filtering решений - я видел и участвовал(вую) в разработке нескольких таких систем :-)

[crazy-daemon.livejournal.com]

В Павлограде местное отделение Укртелекома каким-то образом ухитрялись запаковывать в один ARJ-архив два файла с одинаковыми именами.

[eth0-blog.livejournal.com]

пару лет назад в bugtraq эту тему мусолили - мол большинство популярных антивирусов можно так валить. антивирусы с тех пор поумнели и на такое не ведутся.

[ru-pchel.livejournal.com]

:) Прикольно
Я 2:5010/146.22 :)

[fonmax.livejournal.com]

Энди Элкин все в T-Mail + Fastecho дааавным давно пофиксил.

так что мегабоян, уважаемый. (:

[di-halt.livejournal.com]

Прецедент был. Где то нарывался в инете на статью способе: архив, внутри которого еще архивы, а потмо еще архивы. Короче, на такой шняге касперский не то чтоб совсем наглухо зависал. Но тупил КААААНКРЕЕЕЕТНО, фактически полностью саботировалась работа компа.

У меня, кстати, есть некий Klad.arj (внутри опять klad.arj, в нем опять klad.arj и так несколько тысяч раз)так вот там в этом архиве зарыт не то исходник виря, не то инфо вирмейкерской группы какой то. Я как то, от нефиг делать, вручную раскопал этот клад. Прикольно было :) А тогдашний доктор веб на нем хорошо повис.

[http://users.livejournal.com/renny_/]

Есть такие темы, но не с размером, а с содержимым файлА. E.g. DOS-бага в каспере при перехвате им ZwOpenProcess...

[a-n-d-r-e-w-s.livejournal.com]

а EV-DO тоже придумали пид гомосексуалисты ? :)

[http://users.livejournal.com/_adept_/]

нет, только reference-архитектуру :)

[aincube.livejournal.com]

Думаю в этом словосочетании надо акцентировать внимание на "rev.0" :)