ZIP-Anhaenge gefährlich?

tach Community,

bisher dachte ich immer es sind die ausführbaren dateien… und die microsoft installationsscripte wie macros… .msi .pif… com exe usw.
die probleme machen…

jetzt auch ZIP files?

sitze ich da jetzt einem baeren auf?
ist das nur fuer user relevat, die meinen eine zip zu bekommen… so rein nach dem schema meinZipFile.zip.exe oder sowas?

oder ist es jetzt schon moeglich ein zip anders vorzugaukeln und beim oeffnen des zips kommt die seuche?

merci fuer meine wissenserweiterung

grusz

PixelKoenig

oder ist es jetzt schon moeglich ein zip anders vorzugaukeln
und beim oeffnen des zips kommt die seuche?

Nope, beim Öffnen eines ZIPs wird nur das Archiv geöffnet, das dann aber ein verseuchtes, stinkendes Pest-exe-File (oder was auch immer) enthalten sein kann, das mit einem weiteren Klick ausgeführt werden kann.

Sieht natürlich bei versteckten Dateiendungen anders aus, wenn du ein file.zip.exe bekommst, und .exe wird nicht angezeigt: In diesem Augenblick glaubst du, es sei ein ZIP-File, weil du ja nur file.zip siehst.

Besonders schön sind aber die Dateien mit der Endung .com (ebenfalls ausfürbar) und ich sende dir ein www.zip.com. Das würdest du zwar nicht für ein ZIP-File halten, aber für eine URL… klick klick…

Stefan

dachte ich mir

Nope, beim Öffnen eines ZIPs wird nur das Archiv geöffnet, das
dann aber ein verseuchtes, stinkendes Pest-exe-File (oder was
auch immer) enthalten sein kann, das mit einem weiteren Klick
ausgeführt werden kann.

na…genauso hab ich mir das auch gedacht… konnte mir das auch nicht vorstellen.

Sieht natürlich bei versteckten Dateiendungen anders aus, wenn
du ein file.zip.exe bekommst, und .exe wird nicht angezeigt:
In diesem Augenblick glaubst du, es sei ein ZIP-File, weil du
ja nur file.zip siehst.

naja… selbst schuld, wenn man die falschen ordnereinstellungen hat… oder?
ist allerdings auch dumm von microsoft di standardeinstellungen so gewaehlt zu haben, dass von bekannte mimes die extensions ausgeblendet werden… *tse ts etse

Besonders schön sind aber die Dateien mit der Endung .com
(ebenfalls ausfürbar) und ich sende dir ein www.zip.com. Das
würdest du zwar nicht für ein ZIP-File halten, aber für eine
URL… klick klick…

das ist in der tat ein etwas dummes zeuch das… aber ich denke mit dem richtigen mailclient auch hier kein problem… wenn man ein wenig aufmerksam ist… also… alles wieder nur einw doppelklicker-gefahr…
da bin ich ja beruhigt …

*vonEinemDerEsGeschafftHat,MitWin2000GanzeZweiJahre->
OhneNeuInstallationUndOhneSchaedlingenZuArbeiten* *stolzBin*

danke fuer die Antwort

Grusz
PK

Stefan

Hi!

Meines Wissens gibt es drei Arten, auf die zip-Anhänge „gefährlich“ werden können:

  1. Wie du beschrieben hast: „Bekannte Dateiendungen ausblenden“ aktiviert, die zip-Datei heißt tatsächlich xy.zip.exe

  2. In der zip-Datei steckt eine ausführbare Datei und der Empfänger hat einen Klickfinger mit eigenem Willen

  3. Eine riesige Datei, die nur aus Nullen besteht, wurde gezippt. Der Kompressionsalgorithmus greift hier perfekt, die gezippte Datei ist nur ein paar Bytes groß, beim Entpacken hängt sich das System auf.

Mehr weiß ich nicht.

lemmy

  1. Eine riesige Datei, die nur aus Nullen besteht, wurde
    gezippt. Der Kompressionsalgorithmus greift hier perfekt, die
    gezippte Datei ist nur ein paar Bytes groß, beim Entpacken
    hängt sich das System auf.

jenes beispiel richtet eigentlich keinen wirklichen schaden an…
es sei denn es erwischt ein paar systemrelevanten dateien beim absturz, die nicht mehr beendet werden konnten… und man sich das eine oder andere damit zerschiesst… oder?

aber dazu habe ich mal eine detaillierte frage:

ich habe diese datei (hab davon auch schon mal gehoert)… das teil ist im gigabyte bereich… dann zip ich das ding und veraendere via hex editor manuell die dateigroesse…

ok… wenn ich das oeffne kann ich verstehen, dass mein system damit probleme hat… ABER !!!

die datei weisst doch eine gewisse anzahl an zeichen auf… komprimieren heisst ja „nur“ doppelt vorkommende zeichen/oder was auch immer zu loeschen und sich nur die position zu merken…

bedeutet das, dass wenn die datei nur nullen aufweist, dass sich nur eine position gemerkt wird und es deshalb uzu einer so kleinen dateigroesse kommt?

hmmm… das bedeutet, dass dieser anhang wirklcih … also real gezipped nur wenige kb gross ist und schnell uebers netz geht… und sich dann zu einer wahren grossen null entfaltet und somit das system sprengt…

habe ich das richtig verstanden?

grusz

PixelKoenig

möglich ist alles
Salü PixelKoenig

Es gibt zwei Wege, wie eine Datendatei (wie ZIP Dateien) gefährlich werden können:

  1. Makrosprachen
    Das mit der Datendatei verknüpfte Applikation verfügt über eine Makrosprache und die Datendatei enthält entsprechende Anweisungen
  2. Fehler
    Die Applikation hat einen Fehler (klassisch: „Pufferüberlauf“), der bestimmte negative Reaktionen hervorruft.

Beides sind Variablen. Ich handhabe zum Bsp. meine komprimierten Dateien mit dem Program IZArc, andere mit WinZip oder der Win XP DLL (Lizenz von Winzip).
Nicht alle Applikation die ZIP Dateien handhaben werden die gleichen DLL oder / und Funktionen nutzen. Daher kann es jederzeit sein, dass jemand herausfindet, dass die Applikation X mit ZIP in dieser oder jener Konstallaton einen Fehler generiert…

Grüsse Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo PixelKoenig,

aber dazu habe ich mal eine detaillierte frage:

die datei weisst doch eine gewisse anzahl an zeichen auf…
komprimieren heisst ja „nur“ doppelt vorkommende zeichen/oder
was auch immer zu loeschen und sich nur die position zu
merken…

Es ist schon etwas komplizierter, bzw. intelligenter gemacht.
Bei Zeichen die mehrfach vorkommen, macht es Sinn das Zeichen nur einmal zu speichern und dazu noch die Anzahl.
Das Verfahren nennt sich RLL (Run Length Limited) und ist schon recht alt.

bedeutet das, dass wenn die datei nur nullen aufweist, dass
sich nur eine position gemerkt wird und es deshalb uzu einer
so kleinen dateigroesse kommt?

Also ich kann dir im Prinzip eine solche Dateie bis 4GB, mit RLL in 6 Byte packen (1 Byte als Steuerzeichen um den Zäler zu markieren, 4 Byet für den Zähler und 1 Byte für das Zeichen). Auf diese Weise kann ich das sogar mit 255 unterschiedlichen Zeichen machen.

hmmm… das bedeutet, dass dieser anhang wirklcih … also
real gezipped nur wenige kb gross ist und schnell uebers netz
geht… und sich dann zu einer wahren grossen null entfaltet
und somit das system sprengt…

habe ich das richtig verstanden?

Ja, hast du.

MfG Peter(TOO)

Hallo Ralf,

…gibt’s hier:
http://london.pm.org/pipermail/london.pm/Week-of-Mon….
Das Auswickeln geht bis zur letzten Stufe ganz flott, das
Extrahieren von 0.dll kann dann etwas Zeit brauchen (4 GByte).
Die Größe der jeweils als nächstes zu entpackenden Datei wird
vorher angezeigt - wo versteckt sich dann die „Gefährlichkeit“
von zips?

Zuerst ist einfach mal lästig.
Wenn du die ganze 42.zip komplett entpackst belegen alle Dateien etwa 280 TByte. Die 0.dll ist dann etwa 65’000 mal vorhanden. Auf jeden Fall bekommst du damit jede Platte voll.

Wenn man noch eine Option „Alles entpacken“ hat, dann rödelt dein Computer eine Weile, bis die Meldung „Disk full“ kommt.

Wenn die Platte bis aufs letzte Byte gefüllt ist, kannst du keine Daten mehr aus deinen Programmen speichern, möglicherweise wird dann das BS auch noch etwas paranoid, weil es die Fehlermeldung der Programme auch nicht mehr speichern kann.

Wenn das Ganze noch als Massenmail auftaucht, werden sich die Admins freuen, endlich mal von PC zu PC hüpfen zu dürfen, um die unnützen Daten von den Festplatten zu löschen, denn über das Netzwerk wird es wahrscheinlich nicht machbar sein, da die entsprechenden Fernwartungsprogrammen wegen Speichermangel nicht startbar sind.

Ganz lustig wird es, wenn die Daten auf einen Server entpackt werden, dann ist das Netzwerk eine Zeitlang dicht und die Admins werden endlich einmal per Pieper, Telefon und Handy angerufen.

So etwas kostet Zeit, Nerven und somit auch Geld.

Irgendein User wird das Ding auch nach Wochen noch öffnen.

MfG Peter(TOO)

Sachichdoch…
Hi Peter(TOO),

So etwas kostet Zeit, Nerven und somit auch Geld.
Irgendein User wird das Ding auch nach Wochen noch öffnen.

…nicht Zips sind gefährlich, sondern Menschen, denen nach der fünften Schachtel immer noch keine Bedenken kommen.

Gruß Ralf

Sachichdochauch…
Hallo Ralf,

So etwas kostet Zeit, Nerven und somit auch Geld.
Irgendein User wird das Ding auch nach Wochen noch öffnen.

…nicht Zips sind gefährlich, sondern Menschen, denen nach der
fünften Schachtel immer noch keine Bedenken kommen.

„Vor dem klicken zuerst das Gehirn einschalten“

Wenn es nicht soviele klickwütige User gäbe, würden die meisten Würmer, Vieren und Dialer gar keine verbreitung finden und viele Leute wären arbeitslos.

MfG Peter(TOO)

Hi Peter(TOO),

So etwas kostet Zeit, Nerven und somit auch Geld.
Irgendein User wird das Ding auch nach Wochen noch öffnen.

…nicht Zips sind gefährlich,

Daten sind wieklich selten gefrlich. Meistens sind die Programme das Problem :smile:

Und damit erübrigt sich die Frage, welches gefährliche Dateien sind weitestgehend.

Gruß,

Sebastian