«Мать всех
ZIP-бомб»
«IT-News» предупреждает: искать
это файл не надо. Распаковка данно-
го файла может привести к выходу из
строя вашего компьютера.
Файл под названием 42.zip каким-
то образом попал на просторы Сети.
Ситуацию можно сравнить с ядер-
ным боевым блоком, лежащим в
песочнице, где играют дети.
42.zip знатоки Даркнета называют водо-
родной бомбой, способной взорвать любую
веб-защиту*.
Ничем не примечательный запароленный
архив занимает на диске всего 41,8 Кб. Однако
этот файл состоит из 6 кластеров, которые
также являются ZIP-архивами, каждый из
которых содержит 16 папок. Файл нижнего
уровня весит 4,2 Гб. Если теоретически рас-
паковать все файлы, общий вес информации
составит 4,5 Петабайт (4 503 599 Гб). Примерно
такой объем данных обрабатывает Google в
течение дня.
«ZIP-бомбы» — так называют многократно
архивированные контейнеры, предназна-
ченные для взлома антивирусной защиты на
серверах. Они действуют как бетонобойные
боеприпасы заглубленного действия, разрушая
защиту бункера и обеспечивая доступ основ-
ного заряда под многометровый слой бетона.
Запущенная в систему, ZIP-бомба стано-
вится объектом исследования антивирусной
программы, которая пытается распаковать
все файлы, и в итоге антивирус выводит из
строя и себя, и защищаемую систему.
Как физически создается такой объем-
ный архив? Уровень Grund Zero — обычный
текстовой документ-пустышка, заполненный
нулями. Выглядит, как если бы вы несколько
миллиардов раз поставили, к примеру, знак
пробела в Word. Размер такого файла состав-
ляет 4,2 Гб. Так как файл состоит только из
одного типа символов, его архиваирование
уменьшает исходный документ до ничтожного
объема. Затем создаются еще 16 копий такого
файла, каждый из которых весит 42 Кб. Так как
копии идентичны по хэш-сумме, каждый раз
очередной слой архива будет весть искомые
42. А затем процедура повторяется еще и еще.
Распаковка конечного ZIP-файла на самом
деле будет выглядеть как разбор матрешки
— с неизбежной фрактальной интоксикацией
для распаковывающего… Открыть конечный
файл невозможно: компьютер гарантирован-
но зависает. А можно получить крах системы
со всеми сопутствующими неприятностями.
ZIP-матрешки бывают и более изо-
щренными. Они могу т маскироваться
под обычную png-картинку, например,
«открытку»,популярную в соцсетях. По-
пытка открыть ее приведет к абсолютному
зависанию системы. Бюджетный ноут с 2 Гб
оперативной памяти может выйти из строя.
Исходное разрешение такой ловушки: 50
гигапикселей. При объеме 6,4 Мб она состоит
из 225000х225000 пикс. Для обработки такого
изображения необходим 140 Гб свободной
оперативной памяти. В создании графиче-
ского монстра используется сжатие Deflate с
коэффициентом 1032 к 1.
Впрочем, антивирусы уже понимают
алгоритм работы адских матрешек. Совре-
менные версии антивирусного ПО уверенно
распознают данный тип угрозы, хотя считают
его троянской программой.
Но попытки гоблинов закриптовать
архив так, чтобы он оказался недоступен
существующим антивирусным программам,
не прекращаются. Пытлив ум человече-
ский...
ЛОХ И МАЙНИНГ
СОЗДАНЫ ДРУГ ДЛЯ ДРУГА?
В Сети популярно убеждение, что миром
правит кучка могущественных людей, свя-
занных некой сверхидеей, мотивирующей их
двигать цивилизацию вперед к неясной нам
цели, находясь при этом выше интересов
государств и моно-
полий. Доказать
реальность Теории
всемирного заго-
вора мы не можем,
но вот это тайное
знание — правда.
Около полумилли-
она персональных
компьютеров в
* При условии от-
сутствия антиви-
русов нового поко-
ления.
мире были задействованы в майнинге крип-
товалют (прежде всего, Monero)., и владельцы
этих машин не подозревали, что участвуют в
чьем-то обогащении.
В октябре и ноябре самой распиаренной
киберугрозой стали трояны-майнеры.
Например, майнер Tool.BtcMine.1046
активируется на сайтах, где используется
JavaScript.
Троян, внедренный в код разметки стра-
ниц, начинает майнить, как только поль-
зователь заходит на зараженный сайт. Как
правило, при майнинге компьютер начинает
заметно «тормозить», а в диспетчере задач
обнаруживается 100% загрузка процессора.
Типичны два сценария попадания на
скрытый майнинг: визит на взломанный сайт,
когда владельцы ресурса не замечают про-
блемы; и посещение фишинговой площадки,
замаскированной под популярный сайт.
При заходе на такие сайты антивирусы
со свежими обновлениями баз безошибочно
определяют угрозу.
Майнер Tool.BtcMine.1048 является при-
ложением на JavaScript с бинарными задача-
ми: для кликбейта (накрутки посещаемости
с целью увеличить доход от рекламы), и для
собственно майнинга. Троян внедряется в
код сайта злоумышленниками, но его может
«вшить» и владелец ресурса, чтобы проде-
монстрировать рекламодателям высокую
посещаемость.
ПОРНО-СПАМ
С ВАШЕЙ ТВ-ПРИСТАВКИ
И это не фантазия, а результат работы
ботнет а Linux.ProxyM. Как установили спе-
циалисты Dr.Web, линукс-троян запускает
на зараженных устройствах прокси-сервер,
через который злоумышленники спамят
информацией о сайтах для взрослых, до
400 спам-сообщений в сутки. Самое интерес-
ное — ботнет работает и с IoT-устройств.
На какие еще сюрпризы способна «умная»
мультиварка?
Соб. инф.
IT-NEWS
25