Comment Google sait-il qu'un zip protégé par mot de passe contient un virus?

12

J'essayais d'envoyer le virus eicar.com à quelqu'un pour tester un antivirus. Lorsque j'ai essayé de l'envoyer tel quel, Google SMTP l'a bloqué, disant que le logiciel était malveillant.

Je l'ai donc compressé avec un simple mot de passe (1234) et il l'a à nouveau bloqué. J'ai supposé que le serveur l'avait forcé parce que le mot de passe était trop simple. J'ai donc essayé d'utiliser un mot de passe plus fort (jfdsg4453dsfsf), et il l'a à nouveau bloqué.

Pour les tests, j'ai également essayé d'envoyer un fichier non-virus similaire dans une archive zippée, protégée par mot de passe, et cela fonctionne.

Je me demande donc comment Google sait ce qui contient un virus et ce qui n'en contient pas. Puisque j'ai utilisé différents mots de passe, il ne peut pas vérifier le hachage ou quoi que ce soit. Ou est-ce que les archives zippées peuvent être facilement forcées par la force brute?

gmail 
laurent
source
1
@pnuts, les conditions où cela ne fonctionnait pas (avec le virus crypté) et fonctionnaient (avec le non-virus crypté) étaient les mêmes. Même sujet, même corps et destinataire. Au début, je pensais en effet qu'il reconnaissait le même e-mail, donc le bloquait, mais comme il fonctionnait avec la pièce jointe non virale cryptée, ce devait être autre chose.
laurent

Réponses:

6

Très probablement, votre archiveur ne crypte que le contenu des fichiers par défaut et laisse les noms de fichiers en texte clair. Cela permet à un utilisateur de parcourir l'archive et d'extraire sélectivement des fichiers individuels par nom. WinRAR est l'un de ces archiveurs.

Essayez de renommer votre fichier avant de l'archiver ou activez le chiffrement du nom de fichier avant de l'envoyer.

Voulez-vous dire que Google n'a remarqué que le nom de fichier "eicar.com" dans les archives et a dit que c'était un virus basé uniquement sur ce nom?
pacoverflow
3
Si le contenu du fichier est crypté avec un mot de passe, je dirais que c'est probable.
@Phong Winrar crypte les noms de fichiers ainsi que le contenu et j'avais envoyé des fichiers .rar cryptés par mot de passe avec des fichiers Javascript non malveillants auparavant, ils étaient toujours bloqués. Dans quelle mesure est-il tiré par les cheveux que Google possède suffisamment de puissance de calcul pour pouvoir forcer et déverrouiller des fichiers .rar cryptés?
pilau
3

Je pense que la réponse de @ Phong est probablement correcte, mais Gmail bloque également certaines pièces jointes chiffrées, quoi qu'il arrive.

Remarque, les archives zip et tar.gz ne prennent pas en charge une liste de fichiers cryptée, mais rar et 7z le font.

Depuis la page d' aide de Gmail :

Il n'est pas possible d'envoyer un fichier zip protégé par mot de passe contenant un fichier zip. Veuillez décompresser tous les fichiers ou supprimer la protection par mot de passe si possible.

J'ai essayé de tester cela, et je n'ai pas vu cela appliqué de manière très uniforme.

Pour tester, j'ai essayé de m'envoyer 8 archives compressées différentes contenant un binaire non-virus, avec et sans cryptage, et avec et sans liste de fichiers cryptée. Curieusement, le seul fichier bloqué par Google était le contenu et l'archive rar cryptée de la liste de fichiers, qu'il a signalée comme "Bloqué pour des raisons de sécurité!".

Il a permis tout le reste, y compris le fichier zip protégé par mot de passe que leur page d'aide prétendait être bloqué, ce qui est étrange. Vous penseriez que si Gmail bloquait une rar cryptée de liste de fichiers, ils bloqueraient également la rar de liste de fichiers ouverte? Peut-être qu'ils ont vu le nom de fichier "certainement_not_a_virus.exe" et ont pris ma parole?

La meilleure partie est que cette "protection" est facilement déjouée car elle est entièrement basée sur l'extension du fichier. Si je donne à ma liste de fichiers cryptée rar une extension txt, Gmail l'autorise.

Cerin
source
la seule chose qui a fonctionné pour moi était un nom de fichier 7z encodé et renommé en .txt
Scott Driscoll
2

https://productforums.google.com/forum/#!topic/gmail/tV6fsa5Sckc

Actuellement, Gmail bloque

  • Archives dont le contenu du fichier répertorié est protégé par mot de passe
  • Archives dont le contenu comprend une archive protégée par mot de passe

quel que soit le contenu.

La seule solution consiste à renommer le fichier ou à utiliser la pièce jointe Google Drive comme le suggère le lien des forums ci-dessus.

Vadzim
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.