Crean una bomba ZIP de 46 MB que se expande a 4,5 Petabytes, inutilizando cualquier PC

Existen muchos tipos de malware, y no es necesario infectar o robar datos para resultar peligroso. Es el caso de las bombas ZIP, ficheros comprimidos con sofisticadas técnicas que al descomprimirlos crecen millones de veces su tamaño. El investigador David Fifield ha creado la bomba ZIP más potente del mundo: un fichero de 46 MB se convierte en otro de 4,5 Petabytes.

Un Petabyte son 1000 Terabytes. Teniendo en cuenta que un disco duro estándar hoy en día ocupa unos 2 TB, estamos hablando de una bomba ZIP que solo pesa 46 MB, pero cuando se descomprime ocupa el equivalente a más de 2.200 discos duros, ocasionando todo tipo de problemas. Desde bloquear el ordenador por saturación a impedir que arranque, provocar errores por temperatura, etc.

Lo más interesante, a nivel técnico, es que esta bomba ZIP no utiliza la recursividad para expandirse miles de veces su tamaño, sino una técnica diferente que consiste en superponer ficheros unos encima de otros. Por eso es más difícil de detectar por los antivirus.

Un fichero ZIP es un archivo comprimido, es decir, ocupa menos que el original, mediante distintas técnicas que eliminan las redundancias. Por ejemplo si el archivo contiene 1000 ceros seguidos, se pueden sustituir por el número 0 y las veces que se repite (1000), y se comprimen esos 1000 ceros a solo 4 números.

Con un algoritmo de compresión estándar se pueden comprimir datos, de media, entre 0,5 y 20 veces su tamaño, según lo que contenga. Pero personalizando este algoritmo y usando una serie de trucos, es posible construir una bomba ZIP que comprime los datos millones de veces. Cuando alguien descomprime ese fichero (que puede llamarse como una famosa película o un nombre sugerente para que la víctima pique), empieza a llenar el disco duro, provocando todo tipo de problemas.

Normalmente las bombas ZIP utilizan la recursividad, es decir, bucles que se van generando unos dentro de otros, volviendo al punto de partida para crear un ciclo infinito. Pero esta bomba ZIP, la más grande que se ha creado nunca, no usa la recursividad, así que es más difícil de detectar por los antivirus.

El investigador David Fifield explica en su blog cómo ha creado esta bomba ZIP, usando el solapamiento de ficheros: muchas cabeceras de los directorios que controlan los ficheros comprimidos, apuntan a un único fichero, cuyo contenido es el propio kernel. Esto permite comprimir muchos datos en poco espacio, hasta conseguir que una bomba ZIP de solo 46 MB, se descomprima para ocupar 4,5 Petabytes.

Describiendo cómo funciona, Fifield pretende que los antivirus aprendan a identificar este tipo de trucos, para que los detecten cuándo los usen los ciberdelincuentes.

Fuente: computerhoy