Gridinsoft Logo

Zip Bomb - ¿Qué es? ¿Como funciona?

Una bomba Zip o una "bomba de descompresión" es un archivo comprimido malicioso que contiene una gran cantidad de datos repetidos que pueden bloquear el programa al leerlos.

Quizás le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, and Online Virus Scanner.

¿Qué es una bomba Zip? Definición, ¿Cómo funciona? | Gridinsoft

¿Qué es Zip Bomb?

November 01, 2022

Una bomba zip (bomba de descompresión, archivo de muerte) es un tipo de virus que, en su bajo peso, contiene una cantidad masiva de información, a menudo de su tamaño.

La bomba zip clásica es un archivo pequeño, la mayor parte del cual se mide en kilobytes. Cuando se desempaqueta este archivo, su contenido es más significativo de lo que el sistema puede manejar. Por lo general, se trata de cientos de gigabytes de datos, y los más avanzados pueden alcanzar los petabytes (millones de GB) o incluso los exabytes (miles de millones de gigabytes). Entonces, sí, para que quede claro, estamos hablando de llenar los excubites en los kilobytes.

La primera mención de una bomba zip data de 1996. Uno de los usuarios del entonces popular servicio de mensajería Fidonet publicó en el tablón de anuncios un archivo malicioso, que abrió un administrador desprevenido.

Cuando abre un archivo, comienza a descomprimir todos los datos, lo que hace que el programa o todo el sistema se bloquee, ya que simplemente no hay suficiente espacio para descomprimir esta cantidad de datos.

42.zip - Una bomba Zip clásica


La bomba zip más común que puedes encontrar en Internet es "42.zip". Pesa solo 42 Kb en formato empaquetado.

Sin embargo, si lo descomprime, obtendrá 4,5 petabytes (36 000 000 GB) de datos al salir.

Esto se logra mediante un sistema de archivos zip anidados recursivamente, donde el nivel de archivo zip más bajo se descomprime a un tamaño de 4,3 GB. La construcción utiliza el algoritmo de descompresión más común, que es compatible con la mayoría de los analizadores zip.

Definición de Zip Bomb: ¿Cómo funciona?

El principio de la bomba zip es que crea, por ejemplo, un archivo de texto que está vacío o contiene los mismos símbolos y se archiva. Debido a que el archivo contiene la misma información, se archivará solo y tendrá un tamaño mucho más pequeño que los demás. Luego se crean otros 16 de los mismos archivos, pero como son completamente idénticos en el hash, serán como un solo archivo y no pesarán nada. Luego otras 16 copias, luego otras 16 copias, y así 6 veces. Eventualmente, tenemos 6 capas de 16 archivos, cada una de las cuales tiene 16 archivos iguales.

¿Qué es la compresión?


La compresión es la reducción del número de bits necesarios para representar datos. Veamos esto con más detalle:

| xxxyyyyxxxyxxxyxxx

Esta cadena tiene 18 caracteres. El xxx se puede encontrar muchas veces. Esto es lo que se conoce como redundancia estadística. Tomemos las secuencias comunes más largas en los datos y representémoslas usando la menor cantidad de bits posible. Ahora, comprimir esta cadena significa que tenemos que representar esta información en menos de 18 caracteres. Reemplace cada aparición de 'xxx' con un símbolo, diga '$' y vea qué sucede.

Ahora usamos una forma de cadena intermedia (comprimida) junto con algunas instrucciones sobre cómo obtener la cadena original:

| $yyyy$y$y$
| $=xxx

La primera línea son nuestros datos comprimidos y la segunda son instrucciones. Un diccionario que hemos creado nos dice que si necesitamos descomprimir los datos, debemos reemplazar cada aparición de $ con xxx para recuperar los datos originales. Ahora vamos a contar el número total de caracteres.

Ahora necesitamos 10 + 5 = 15 para representar la misma información.

¿Para qué se usa Zip Bomb?

Dado que la bomba zip no daña directamente el sistema, a menudo se usa para provocar una falla o desactivación del programa que intenta acceder a él. También se puede usar para deshabilitar el software antivirus para crear una puerta trasera para otros malware típico.

En lugar de robar el funcionamiento normal del programa, la bomba zip permite que el programa funcione según lo previsto. Aún así, el archivo está cuidadosamente diseñado, por lo que descomprimirlo (por ejemplo, el análisis antivirus en busca de virus) requiere una cantidad excesiva de tiempo, espacio en disco o memoria (o todo). En este momento, el atacante puede intentar infectar el sistema con un virus real. Aunque a veces en un intento de escanear archivos adjuntos, el antivirus toma todos los recursos de la PC, cargando tanto el sistema que el uso posterior del dispositivo se vuelve imposible.

¿De dónde viene la bomba Zip?

Hoy en día es casi imposible contraer un virus así por accidente. La mayoría de los antivirus modernos han aprendido a reconocer y neutralizar las bombas zip y, en la práctica, la efectividad de dicho ataque es mínima.