Como o Google sabe que um zip protegido por senha contém um vírus?

12

Eu estava tentando enviar o vírus eicar.com para alguém para testar um antivírus. Quando tentei enviá-lo como está, o Google SMTP o bloqueou, dizendo que o software era malicioso.

Então, eu o zipei com uma senha simples (1234) e a bloqueou novamente. Eu supus que o servidor de alguma forma brutal o forçou porque a senha era muito simples. Então, tentei usar uma senha mais forte (jfdsg4453dsfsf) e a bloqueou novamente.

Para o teste, também tentei enviar um arquivo não antivírus semelhante em um arquivo compactado e protegido por senha e ele funciona.

Então, eu estou me perguntando, como o Google sabe o que contém um vírus e o que não contém? Como eu usei senhas diferentes, ele não pode verificar o hash nem nada. Ou será que os arquivos compactados podem ser facilmente brutais?

gmail Laurent
fonte
1
@pnuts, as condições em que não funcionava (com o vírus criptografado) e funcionava (com o não-vírus criptografado) eram as mesmas. Mesmo assunto, mesmo corpo e destinatário. No começo, eu realmente pensei que estava reconhecendo o mesmo email e estava bloqueando-o, mas, como funcionava com o anexo não antivírus criptografado, deve ser outra coisa.
precisa

Respostas:

6

Provavelmente, seu arquivador criptografa apenas o conteúdo do arquivo por padrão e deixa os nomes dos arquivos em texto não criptografado. Isso permite que um usuário navegue no arquivo morto e extraia seletivamente arquivos individuais por nome. O WinRAR é um desses arquivadores.

Tente renomear seu arquivo antes de arquivá-lo ou ative a criptografia de nome de arquivo antes de enviá-lo.


fonte
Você está dizendo que o Google só notou o nome de arquivo "eicar.com" no arquivo e disse que era um vírus apenas com base nesse nome?
Pacoverflow 26/09
3
Se o conteúdo do arquivo estiver criptografado com uma senha, eu diria que é provável.
O @Phong Winrar criptografa nomes de arquivos e conteúdo, e eu enviei arquivos .rar criptografados por senha com arquivos Javascript não maliciosos antes, eles ainda foram bloqueados. Quão absurdo é que o Google possui poder computacional suficiente para poder usar com força bruta e desbloquear arquivos .rar criptografados?
Pilau #
3

Acho que a resposta do @ Phong provavelmente está correta, mas o Gmail também bloqueia certos anexos criptografados, não importa o quê.

Observe que os arquivos zip e tar.gz não suportam uma lista de arquivos criptografados, mas o rar e o 7z o fazem.

Na página de ajuda do Gmail :

Não é possível enviar um arquivo zip protegido por senha que contenha um arquivo zip. Descompacte todos os arquivos ou remova a proteção por senha, se possível.

Tentei testar isso e não vi isso de maneira muito uniforme.

Para testar, tentei enviar por email 8 arquivos compactados diferentes contendo um binário sem vírus, com e sem criptografia e com e sem uma lista de arquivos criptografada. Curiosamente, o único arquivo que o Google bloqueou foi o arquivo rar criptografado por conteúdo e lista de arquivos, que foi relatado como "Bloqueado por razões de segurança!".

Ele permitia que tudo o resto, incluindo o arquivo zip protegido por senha, bloqueado por sua página de ajuda, o que é estranho. Você pensaria que, se o Gmail bloquearia um rar criptografado da lista de arquivos, eles também bloqueariam o rar aberto da lista de arquivos? Talvez eles tenham visto o nome do arquivo "definitivamente_not_a_virus.exe" e tenham aceitado minha palavra por isso?

A melhor parte é que essa "proteção" é facilmente frustrada porque é inteiramente baseada na extensão do arquivo. Se eu der uma extensão txt à rar da minha lista de arquivos criptografada, o Gmail permitirá.

Cerin
fonte
a única coisa que funcionou para mim foi um 7z arquivo codificado e renomeado para .txt
Scott Driscoll
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

Atualmente, o Gmail bloqueia qualquer um dos

  • Arquivos cujo conteúdo do arquivo listado é protegido por senha
  • Arquivos cujo conteúdo inclui um arquivo protegido por senha

independentemente do conteúdo.

A única solução é renomear o arquivo ou usar o anexo do Google Drive, como sugere o link dos fóruns acima.

Vadzim
fonte