Analyse AVAST / bombe de décompression + ZIP

Selon WIkipédia :

Une bombe de décompression est un type de logiciel malveillant qui consiste en un fichier compressé dont la décompression mobilise tellement de ressources qu'il peut faire geler le système. Elle peut aussi être utilisée pour occuper l'antivirus pendant qu'un virus plus traditionnel est introduit.


Bombe simple (ou bombe à données répétées) :
Il s'agit d'un simple fichier compressé, placé à un endroit quelconque du disque dur, d'une taille relativement légère (n'excédant pas une dizaine de méga-octets), qui contient après décompression des données d'une taille beaucoup plus importante (plusieurs giga-octets). Pour ce faire, on remplit intégralement, sur plusieurs giga-octets, un fichier binaire d'une même donnée (0 ou 1). Ainsi, une fois compressé, il sera très léger.

Lors d'une analyse ce fichier va être analysé par l'antivirus pour peu que celui-ci supporte l'analyse de fichiers compressés (ce qui est le cas pour pratiquement tous les antivirus à ce jour). Pour cela, l'antivirus va devoir extraire l'archive dans une zone temporaire, afin de les analyser un par un. Là est la source du problème : lorsqu'on extrait ce fichier ce sont plusieurs giga-octets de données qui doivent être extraits et copiés dans cette zone. Ce processus de décompression occupe toute la mémoire temporaire qui lui est dédiée et créé un déni de service (ou DoS) en accaparant toutes les ressources du processeur.

Certains antivirus sont cependant capables de reconnaître les bombes de décompression avant qu'elles ne soient décompressées.

Bombe complexe
Une bombe complexe est un fichier compressé dont l'en-tête est incorrect.


Bombe simple à série de fichiers
Cette bombe est en fait plusieurs bombes identiques les unes dans les autres. Certains formats de compression permettent de compresser un grand nombre de fois un même fichier dans une seule archive sans augmenter la taille finale de l'archive. On compressera donc plusieurs milliers voire millions de bombes simples dans un fichier compressé, et la taille de la bombe finale différera peu de celle d'une unique bombe simple. La taille des fichiers décompressés lors de l'explosion de la bombe peut alors atteindre plusieurs centaines de péta-octets.

Un exemple de ce type de bombe est le fichier 42.zip, un fichier ZIP de 42 kilo-octets, qui contient un fichier de 4,3 giga-octets répété à 165 exemplaires (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 péta-octets après décompression[1].


Autres bombes [modifier]
Ce problème touchant tous les types de fichiers compressés, il est ainsi possible de créer des bombes à image (picture bomb : un seul pixel est répété sur une image de plusieurs milliers de pixels de côté).

NE PAS TOUCHER A CE FICHIER : LE SUPPRIMER DIRECTEMENT !!!!!!!!!!!!!

Pour Markita : quel est ton problème?
Pourquoi demander quoi faire, alors que le forum donne déjà les solutions possibles?
Pourquoi crois-tu que le fait d'avoir Windows Vista changera radicalement la façon de régler ce problème?...
Tu crois trop que réparer Windows est un challenge quotidien, nécessitant une remise en question permanente à l'échelle du quart d'heure...

il y a une solution simple et efficace ,c'est de laisser le fichier concerne la ou il est sans lesupprimer et encore moins le modifier car tant le fichier n'est pas ouvert y a rien a crainde

jackayak j'ai exactement le même problème... Quelqu'un a-t-il une solution depuis ce dernier message ? Merci d'avance :)

A jackayak, j'aurai répondu qu'il valait mieux désactiver la restauration système avant d'envisager un scan ou bien une réparation. Mais bon... depuis le temps j'espère qu'il a trouvé la solution !
Pour toi max, dont je viens de lire le post récent, je conseillerai plutôt de laisser tomber l'utilisation de la barre Google Desktop; on ne sait que trop bien les failles de sécurité qu'introduisent ces gadgets (en se demandant si ce n'est pas le but recherché!)
Et pour une utilisation en toute sérénité de ton pc, songe à Linux (exemple ubuntu). Tu verras, les choses changent et tu n'auras en pratique plus besoin du moindre anti-virus. Attention, je n'ai pas dit qu'il était inutile de se protéger, mais un pare-feu bien configuré et le tour est joué !

Arrêter de s'en faire pour si peu. Ce n'est pas forcément un virus.

Une bombe de décompression n'est PAS une infection d'un fichier. C'est juste la manière qu'à Avast de signaler que le fichier compend des sous-fichiers cachés pour en améliorer la compression. Mais leur ouverture est trop lourde pour Avast (parfois même pour Windows qui "gèle" l'application !).
1. Ouvre ton rapport d'analyse
2. Ouvre l'explorateur du bureau (icône complèrtement à gauche de la barre des tâches, ou bouton windows sur le clavier)
3. Positionne (POSITIONNE !) la souris sur le libellé du fichier "bombe" du rapport d'analyse (pour faie apparaitre l'adresse de ce fichier en entier)
4. Ecris l'adrese dans l'explorateur (qui est toujours ouvert puisque tu n's fait que déplacer la souris sans cliquer nul part) ex : C:\Users\Machin\Temp...etc
5. Clic droit sur le fichier (il ne peut y en avoir qu'un puisqe l'adresse es marquée en entier) que l'explorateur te renvoie
6. Clic gauche sur "Ouvir l'emplacement du fichier"
7. Supprime si tu ne connais pas le fichier. Si tu le connais, si tu t'en sers, pas besoin de supprimer. Les bombes de décompression ne sont définitivement pas dangereuses, juste parfois emmerdantes par le gel de l'application qu'elle peuvent entrainer. Ce gel n'affectant en rien ton ordinateur.

Même chose pour le fichier .ZIP, dont l'impossiblité d'être analysé vient plus souvent du fait qu'ils sont généralement protégés par un mot de passe qu'Avast, forcément, ne connait pas (pour l'instant, peut-être que dans une prochaine mise à jour, ils nous donneront la possibilités de rentrer les mots de passe des fichier qu'il ne peut ouvrir pour cette raison).