Как Google узнает, что защищенный паролем почтовый индекс содержит вирус?

12

Я пытался отправить вирус eicar.com кому-то, чтобы проверить антивирус. Когда я попытался отправить его как есть, Google SMTP заблокировал его, заявив, что программа была вредоносной.

Поэтому я заархивировал его простым паролем (1234), и он снова заблокировал его. Я предположил, что сервер как-то грубо форсировал его, потому что пароль был слишком простым. Поэтому я попытался использовать более надежный пароль (jfdsg4453dsfsf), и он снова заблокировал его.

Для тестирования я также попытался отправить аналогичный антивирусный файл в архиве, защищенном паролем, и он работает.

Поэтому мне интересно, как Google узнает, что содержит вирус, а что нет? Поскольку я использовал разные пароли, он не может проверить хеш или что-то еще. Или архивы на молнии могут быть легко взломаны?

gmail Laurent
источник
1
@pnuts, условия, когда он не работал (с зашифрованным вирусом) и работал (с зашифрованным невирусом), были такими же. Та же тема, то же тело и получатель. Сначала я действительно думал, что он распознает ту же электронную почту, поэтому блокировал ее, но, поскольку она работала с зашифрованным невирусным вложением, это должно быть что-то другое.
Лоран

Ответы:

6

Скорее всего, ваш архиватор только шифрует содержимое файла по умолчанию и оставляет имена файлов в виде открытого текста. Это позволяет пользователю просматривать архив и выборочно извлекать отдельные файлы по имени. WinRAR является одним из таких архиваторов.

Попробуйте переименовать файл перед его архивированием или включите шифрование имени файла перед отправкой.


источник
Вы говорите, что Google заметил только имя файла "eicar.com" в архиве и сказал, что это вирус, основанный только на этом имени?
pacoverflow
3
Если содержимое файла зашифровано паролем, я бы сказал, что это вероятно.
@Phong Winrar зашифровывает имена файлов, а также их содержимое, и я отправлял зашифрованные паролем файлы .rar с не вредоносными файлами Javascript, но они все еще были заблокированы. Насколько надуманным является то, что Google обладает достаточной вычислительной мощностью, чтобы он мог перебором и разблокировать зашифрованные файлы .rar?
плов
3

Я думаю, что ответ @ Phong, вероятно, правильный, но Gmail также блокирует некоторые зашифрованные вложения, несмотря ни на что.

Обратите внимание, что архивы zip и tar.gz не поддерживают зашифрованный список файлов, но rar и 7z поддерживают.

Со страницы помощи Gmail :

Невозможно отправить защищенный паролем zip-файл, содержащий zip-файл. Пожалуйста, распакуйте все файлы или снимите защиту паролем, если это возможно.

Я пытался протестировать это, и я не видел, чтобы это применялось очень равномерно.

Чтобы проверить, я попытался отправить по электронной почте себе 8 различных сжатых архивов, содержащих невирусный бинарный файл, с шифрованием и без него, с зашифрованным списком файлов и без него. Как ни странно, единственным файлом, заблокированным Google, был зашифрованный архив содержимого и списка файлов, который он сообщил как «заблокированный по соображениям безопасности!».

Это позволило все остальное, включая обычный zip-файл, защищенный паролем, который, по их утверждению, будет заблокирован на странице справки, что странно. Вы думаете, что если Gmail заблокирует зашифрованный rar списка файлов, они также заблокируют открытый rar списка файлов? Может быть, они увидели имя файла «безусловно_нот_a_virus.exe» и поверили мне на слово?

Самое приятное, что эту «защиту» легко сорвать, потому что она полностью основана на расширении файла. Если я даю своему зашифрованному файлу список расширений txt, Gmail разрешает это.

Cerin
источник
единственное, что сработало для меня, это имя файла 7z, закодированное и переименованное в .txt
Скотт Дрисколл
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

В настоящее время Gmail блокирует любую из

  • Архивы, чье содержимое файла защищено паролем
  • Архивы, содержимое которых включает в себя защищенный паролем архив

независимо от содержания.

Единственное решение - переименовать файл или использовать вложение на Google Диске, как предлагает ссылка на форуме выше.

Vadzim
источник