¿Cómo sabe Google que un zip protegido por contraseña contiene un virus?

12

Estaba tratando de enviar el virus eicar.com a alguien para probar un antivirus. Cuando intenté enviarlo tal cual, Google SMTP lo bloqueó, diciendo que el software era malicioso.

Así que lo comprimí con una contraseña simple (1234) y lo bloqueó nuevamente. Asumí que el servidor de alguna manera lo forzó porque la contraseña era demasiado simple. Entonces intenté usar una contraseña más segura (jfdsg4453dsfsf), y la bloqueó nuevamente.

Para las pruebas, también he intentado enviar un archivo similar sin virus en un archivo comprimido, protegido por contraseña, y funciona.

Entonces me pregunto, ¿cómo sabe Google qué contiene un virus y qué no? Como he usado contraseñas diferentes, no puede verificar el hash ni nada. ¿O es que los archivos comprimidos pueden ser fácilmente forzados por la fuerza bruta?

gmail Laurent
fuente
1
@pnuts, las condiciones en que no funcionaba (con el virus cifrado) y funcionaban (con el virus no cifrado) eran las mismas. Mismo sujeto, mismo cuerpo y destinatario. Al principio, realmente pensé que estaba reconociendo el mismo correo electrónico, así que lo estaba bloqueando, pero como funcionaba con el archivo adjunto cifrado sin virus, debe ser otra cosa.
Laurent

Respuestas:

6

Lo más probable es que su archivador solo encripte el contenido de los archivos de manera predeterminada y deje los nombres de los archivos en texto sin cifrar. Esto permite a un usuario explorar el archivo y extraer selectivamente archivos individuales por nombre. WinRAR es uno de esos archivadores.

Intente cambiar el nombre de su archivo antes de archivarlo o active el cifrado de nombre de archivo antes de enviarlo.


fuente
¿Estás diciendo que Google solo notó el nombre de archivo "eicar.com" en el archivo y dijo que era un virus basado solo en ese nombre?
pacoverflow
3
Si el contenido del archivo está encriptado con una contraseña, diría que es probable.
@Phong Winrar encripta los nombres de los archivos, así como el contenido, y antes había enviado archivos .rar encriptados con contraseña con archivos Javascript no maliciosos, todavía estaban bloqueados. ¿Qué tan descabellado es que Google posea suficiente poder de cómputo para poder forzar y desbloquear archivos cifrados .rar?
pilau
3

Creo que la respuesta de @ Phong es probablemente correcta, pero Gmail también bloquea ciertos archivos adjuntos cifrados sin importar qué.

Tenga en cuenta que los archivos zip y tar.gz no admiten una lista de archivos cifrados, pero rar y 7z sí.

Desde la página de ayuda de Gmail :

No es posible enviar un archivo zip protegido con contraseña que contenga un archivo zip. Descomprima todos los archivos o elimine la protección con contraseña si es posible.

Traté de probar esto, y no vi que esto se aplicara de manera muy uniforme.

Para probar, traté de enviarme 8 archivos comprimidos diferentes que contienen un binario sin virus, con y sin cifrado, y con y sin una lista de archivos cifrados. Por extraño que parezca, el único archivo que Google bloqueó fue el contenido y el archivo rar cifrado de la lista de archivos, que informó como "Bloqueado por razones de seguridad".

Permitió todo lo demás, incluido el simple archivo zip protegido por contraseña que su página de ayuda afirmaba que estaría bloqueado, lo cual es extraño. ¿Pensarías que si Gmail bloqueara una lista de archivos rar cifrada, también bloquearían la lista de archivos abierta rar? ¿Quizás vieron el nombre de archivo "definitely_not_a_virus.exe" y tomaron mi palabra?

La mejor parte es que esta "protección" se frustra fácilmente porque se basa completamente en la extensión del archivo. Si le doy a mi lista de archivos encriptada una extensión txt, Gmail lo permite.

Cerin
fuente
lo único que funcionó para mí fue un nombre de archivo 7z codificado y renombrado a .txt
Scott Driscoll
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

Actualmente Gmail bloquea cualquiera de

  • Archivos cuyo contenido de archivo listado está protegido con contraseña
  • Archivos cuyo contenido incluye un archivo protegido con contraseña

independientemente de los contenidos.

La única solución es cambiar el nombre del archivo o usar el archivo adjunto de Google Drive como sugiere el enlace de foros anterior.

Vadzim
fuente