Come fa Google a sapere che una zip protetta da password contiene un virus?

12

Stavo cercando di inviare il virus eicar.com a qualcuno per testare un antivirus. Quando ho provato a inviarlo così com'è, Google SMTP lo ha bloccato, dicendo che il software era dannoso.

Quindi l'ho compresso con una semplice password (1234) e l'ho bloccato di nuovo. Supponevo che il server lo avesse forzato in qualche modo perché la password era troppo semplice. Quindi ho provato a usare una password più forte (jfdsg4453dsfsf) e l'ho bloccata di nuovo.

Per i test, ho anche provato a inviare un file non virus simile in un archivio zippato, protetto da password, e funziona.

Quindi mi chiedo, come fa Google a sapere cosa contiene un virus e cosa no? Dal momento che ho usato password diverse, non è possibile controllare l'hash o altro. O è che gli archivi zippati possono essere facilmente forzati?

gmail 
laurent
fonte
1
@pnuts, le condizioni in cui non funzionava (con il virus crittografato) e funzionava (con il non-virus crittografato) erano le stesse. Stesso soggetto, stesso corpo e stesso destinatario. All'inizio, pensavo davvero che stesse riconoscendo la stessa e-mail, quindi la stava bloccando, ma dal momento che funzionava con l'allegato non crittografato, doveva essere qualcos'altro.
Laurent,

Risposte:

6

Molto probabilmente, l'archiviatore crittografa i contenuti dei file solo per impostazione predefinita e lascia i nomi dei file in chiaro. Ciò consente a un utente di sfogliare l'archivio ed estrarre selettivamente i singoli file per nome. WinRAR è uno di questi archiviatori.

Prova a rinominare il tuo file prima di archiviarlo o abilita la crittografia del nome file prima di inviarlo.

Stai dicendo che Google ha notato solo il nome del file "eicar.com" nell'archivio e ha detto che era un virus basato solo su quel nome?
pacoverflow,
3
Se il contenuto del file è crittografato con una password, direi che è probabile.
@Phong Winrar crittografa i nomi dei file e i contenuti e in precedenza avevo inviato file .rar crittografati con password con file Javascript non dannosi, ma erano ancora bloccati. Quanto è inverosimile che Google possieda abbastanza potenza di calcolo da poter forzare e sbloccare i file .rar crittografati?
pilau,
3

Penso che la risposta di @ Phong sia probabilmente corretta, ma Gmail blocca anche alcuni allegati crittografati, qualunque cosa accada.

Nota, gli archivi zip e tar.gz non supportano un elenco file crittografato, ma rar e 7z lo fanno.

Dalla pagina di aiuto di Gmail :

Non è possibile inviare un file zip protetto da password contenente un file zip. Decomprimi tutti i file o rimuovi la protezione con password se possibile.

Ho provato a testarlo e non l'ho visto applicato in modo molto uniforme.

Per testare, ho provato a inviarmi via email 8 diversi archivi compressi contenenti un file binario non virus, con e senza crittografia e con e senza un elenco file crittografato. Stranamente, l'unico file che Google ha bloccato è stato l'archivio rar crittografato di contenuto e file, che è stato segnalato come "Bloccato per motivi di sicurezza!".

Ha permesso tutto il resto, incluso il semplice file zip protetto da password, la loro pagina di aiuto sostenuta sarebbe stata bloccata, il che è strano. Penseresti che se Gmail bloccasse una rar file list crittografata, bloccherebbe anche la rar file list aperta? Forse hanno visto il nome del file "definitely_not_a_virus.exe" e mi hanno preso la parola?

La parte migliore è che questa "protezione" è facilmente sventata perché interamente basata sull'estensione del file. Se dò al mio elenco di file crittografati rar un'estensione txt, Gmail lo consente.

Cerin
fonte
l'unica cosa che ha funzionato per me era un nome di file 7z codificato e rinominato in .txt
Scott Driscoll
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

Attualmente Gmail blocca nessuno dei

  • Archivi il cui contenuto di file elencato è protetto da password
  • Archivi il cui contenuto include un archivio protetto da password

indipendentemente dal contenuto.

L'unica soluzione è rinominare il file o utilizzare l'allegato di Google Drive come suggerisce il link al forum sopra.

Vadzim
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.