Virtualių kovų veteranai prisimena dar “FidoNet” laikais naudotas dekompresijos bombas - piktybiškai siuntinėjamus nedidelės apimties failų archyvus, kurie išglaudinimo metu staiga išsiplėsdavo taip, kad iki kraštų pripildydavo kietąjį diską.
Dabartinė virusų kūrėjų karta patvirtino, kad nauja - tai tik gerai pamiršta sena. Nors nuo paskutinių oro antskrydžių, kurių metu buvo mėtomos tokios bombelės, kietųjų diskų talpa išaugo šimtus kartų, jų sprogstamoji galia padidėjo dar daugiau. Tiesioginį iki 25 KB suglaudinto GIF failo pataikymą, po dekompresijos iš kietojo disko atimantį 288 MB laisvos vietos, greičiausiai atlaikysite. Tačiau 69 KB dydžio “Bzip2” failo, išsiplėtusio iki 100 GB, sprogimas jūsų sistemą garantuotai paliks be žado.
Siekdamos geriau apsisaugoti nuo virusų, vis daugiau įmonių naudoja elektroninio pašto filtravimą: prie laiškų prisegti failai su plėtiniais EXE, PIF, SCR ir kt. paliekami “už borto”. Nusistovėjus tokiai praktikai nedidelėmis programomis el. paštu norintys keistis vartotojai pradėjo vieni kitiems siuntinėti suarchyvuotus EXE failus. ZIP ar kito formato archyvai nevaržomai įsileidžiami į korporatyvines el. pašto sistemas, patikrinami dėl virusų ir pristatomi adresatams.
Nors virusų platintojai neretai bandydavo įbrukti kitiems žalingą kodą, suglaudintą su “WinZip” ar kitais įrankiais, iš esmės virusų kūrėjai archyvatoriais kaip savo produkcijos maskavimo priemone pernelyg nesižavėjo - skirtingai nuo PIF ar SCR failų, norint naudotis archyvais “Windows” sistemose reikėjo instaliuoti papildomas programas. Tačiau, pasak “MessageLabs” ekspertų, situacija visiškai pasikeitė 2003 metais. Ieškodama naujų produkcijos maskavimo būdų virusų kūrėjų bendruomenė smarkiai susidomėjo ZIP “konteineriais”. Iš dalies prie to prisidėjo “Microsoft”, pačioje “Windows XP” įdiegusi ZIP failų palaikymą. Tai atvėrė geresnes galimybes brukti vartotojams prie laiškų prisegtus archyvus su piktybiniu kodu. O kad būtų galima nukenksminti archyvuose virusų ieškančias antivirusines programas, buvo pasitelktos dekompresijos bombos.
Vokietijos kompiuterinio saugumo konsultacijų bendrovės “AERAsec Network Services and Security” (http://www.aerasec.de/security/advisories/decompression-bomb-vulnerability.html) specialistai nustatė, kad visa eilė antivirusinių priemonių (daugiausia “Linux” terpei skirtų “Trend Micro”, “Network Associates”, “Kaspersky Labs” ir kt. gamintojų produktų), interneto naršyklių (įskaitant kai kurias “Mozilla”, “Opera” versijas bei “Internet Explorer 6”) bei kitų programų yra daugiau ar mažiau neatsparios “Bzip2” ir “Gzip” archyvų dekompresijos bomboms. Jų poveikis išglaudinimo funkcijas turintiems programiniams produktams dar tik pradėtas išsamiau nagrinėti, tad pažeidžiamų produktų sąrašas ateityje gali išsiplėsti.
Naudojant “AERAsec” testuotą programinę įrangą, skirtą piktybiniams archyvams patikrinti ir išpakuoti, vartotojo sistema gali sutrikti dėl itin didelio procesoriaus apkrovimo, darbinės atminties trūkumo, išnaudotos laisvos disko vietos. Ekspertai nurodo esant kelių rūšių bombas. Tarp jų - ne tik ZIP ar GZIP archyvai, bet ir suspausti GIF bei PNG formato paveikslėliai. Didžiausia dėl jų patiriama žala - sutrikdytas naudojamų programų darbas, parazitinių gigabaitų pripumpuotas “Windows/Temp” katalogas, “pakibusi” sistema, antivirusinės programos nesugebėjimas tikrintame archyve aptikti viruso.
Norintiems iš arčiau susipažinti su įvairių tipų dekompresijos bombomis “AERAsec” siūlo keletą savo sukurtų pavyzdžių (ftp://ftp.aerasec.de/pub/advisories/decompressionbombs/), tačiau pabrėžia grynai pažintinę jų naudojimo paskirtį. Bendrovė perspėja neprisiimanti jokios atsakomybės dėl jų testavimo su vartotojų naudojamomis antivirusinėmis programomis ir galimų padarinių. Ką gi, palinkėkime sėkmės aštrių pojūčių mėgėjams, nutarusiems savo kompiuteryje įsirengti atominių bandymų poligoną. O patys verčiau pratinkimės labai gerai pagalvoti prieš atidarydami iš nežinia ko el. paštu gautą kuklaus dydžio suarchyvuotą failą.
