Skąd Google wie, że zip chroniony hasłem zawiera wirusa?

12

Próbowałem wysłać wirusa eicar.com do kogoś, aby przetestował program antywirusowy. Kiedy próbowałem wysłać go w obecnej postaci, Google SMTP zablokował go, mówiąc, że oprogramowanie było złośliwe.

Więc spakowałem go prostym hasłem (1234) i ponownie go zablokowałem. Zakładałem, że serwer w jakiś sposób brutalnie wymusił to, ponieważ hasło było zbyt proste. Próbowałem więc użyć silniejszego hasła (jfdsg4453dsfsf) i ponownie je zablokowałem.

Do testów próbowałem również wysłać podobny plik inny niż wirus w skompresowanym, chronionym hasłem archiwum i działa.

Zastanawiam się więc, skąd Google wie, co zawiera wirusa, a co nie? Ponieważ użyłem różnych haseł, nie może sprawdzić skrótu ani nic. Czy też to, że spakowane archiwa mogą być łatwo brutalnie zmuszone?

gmail Laurent
źródło
1
@ orzechy, warunki, w których nie działał (z zaszyfrowanym wirusem) i działał (z zaszyfrowanym programem innym niż wirus) były takie same. Ten sam przedmiot, to samo ciało i odbiorca. Na początku rzeczywiście myślałem, że rozpoznaje ten sam e-mail, więc go blokowałem, ale ponieważ działał z zaszyfrowanym załącznikiem innym niż wirus, musi to być coś innego.
laurent

Odpowiedzi:

6

Najprawdopodobniej archiwizator domyślnie szyfruje tylko zawartość pliku i pozostawia nazwy plików w postaci zwykłego tekstu. Pozwala to użytkownikowi przeglądać archiwum i selektywnie wyodrębniać pojedyncze pliki według nazwy. WinRAR jest jednym z takich archiwizatorów.

Spróbuj zmienić nazwę pliku przed jego zarchiwizowaniem lub włącz szyfrowanie plików przed wysłaniem.


źródło
Czy twierdzisz, że Google zauważył w archiwum nazwę „eicar.com” i powiedział, że jest to wirus oparty na tej nazwie?
pacoverflow
3
Jeśli zawartość pliku jest zaszyfrowana hasłem, powiedziałbym, że to prawdopodobne.
@Phong Winrar szyfruje zarówno nazwy plików, jak i zawartość, a przedtem wysyłałem zaszyfrowane hasłem pliki .rar z nie złośliwymi plikami JavaScript, nadal są blokowane. Jak daleko jest do tego stopnia, że ​​Google posiada wystarczającą moc obliczeniową, by móc brutalnie wymusić i odblokować zaszyfrowane pliki .rar?
pilau
3

Myślę, że odpowiedź @ Phong jest prawdopodobnie poprawna, ale Gmail blokuje również niektóre zaszyfrowane załączniki bez względu na wszystko.

Uwaga: archiwa zip i tar.gz nie obsługują zaszyfrowanej listy plików, ale robią to rar i 7z.

Ze strony pomocy Gmaila :

Nie można wysłać chronionego hasłem pliku zip zawierającego plik zip. Proszę zdekompresować wszystkie pliki lub usunąć ochronę hasłem, jeśli to możliwe.

Próbowałem to przetestować i nie widziałem, aby było to bardzo jednolicie egzekwowane.

Aby przetestować, próbowałem wysłać do siebie 8 różnych skompresowanych archiwów zawierających pliki binarne inne niż wirusy, z szyfrowaniem i bez szyfrowania oraz z zaszyfrowaną listą plików i bez niej. Co dziwne, jedynym plikiem, który Google zablokował, było zaszyfrowane archiwum rar z zawartością i listami plików, które zgłosiło jako „Zablokowane ze względów bezpieczeństwa!”.

Pozwolił na wszystko inne, w tym na zwykły plik zip chroniony hasłem, który według ich strony pomocy został zablokowany, co jest dziwne. Myślisz, że jeśli Gmail zablokuje plik rar zaszyfrowany rar, to również zablokują plik rar otwarty? Może zobaczyli nazwę „zdecydowanie_not_a_virus.exe” i uwierzyli mi na słowo?

Najlepsze jest to, że ta „ochrona” jest łatwo udaremniona, ponieważ jest całkowicie oparta na rozszerzeniu pliku. Jeśli dam zaszyfrowanemu plikowi rar rozszerzenie txt, Gmail na to zezwoli.

Cerin
źródło
jedyną rzeczą, która działała dla mnie, była nazwa pliku 7z zakodowana i zmieniona na .txt
Scott Driscoll
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

Obecnie Gmail blokuje dowolne

  • Archiwa, których treść na liście jest chroniona hasłem
  • Archiwa, których treść zawiera archiwum chronione hasłem

niezależnie od zawartości.

Jedynym rozwiązaniem jest zmiana nazwy pliku lub użycie załącznika do Dysku Google, jak sugeruje powyższy link do forów.

Wadzim
źródło