Se pare că Google, prin serviciul său de poştă electronică Gmail, dezarhivează toate arhivele .zip ataşate mesajelor, care conţin parola “infected”, scrie Brian Baskin de la ghettoforensics.com.
Vă spun din proprie experienţă că este o regulă stabilită de mulţi ani între pasionaţii de securitate IT şi cercetătorii companiilor anti-virus sau între oamenii normali care doresc să vadă dacă un executabil este virusat şi specialiştii anti-virus, ca în cazul în care doresc să trimită mostrele către laboratoare pentru a fi analizate, să o facă într-o arhivă .zip cu parola “infected”. Folosind această metodă, am trimis multe mostre către companiile anti-virus, în anii trecuţi, pentru a fi adăugate la detecţie.
Arhivele sunt parolate pentru a preveni infectarea persoanelor normale care accidental le-ar dezarhiva şi ar deschide executabilul infectat sau, în special, pentru a nu fi detectate/blocate de către serviciile de e-mail, deoarece este cunoscut faptul că soluţiile anti-virus nu pot scana în interiorul unei arhive care are parolă.
Iată că tocmai acest lucru, probabil, îl face Google când încerci să încarci un virus arhivat cu parola “infected”: dezarhivează arhiva folosind cuvântul “infected”, scanează executabilul, după care eşti avertizat că în interiorul ei se află un virus.
Am descărcat repede de pe Internet doi viruşi diferiţi, am început să fac teste pe contul meu de Gmail şi concluzia ar fi că pot confirma cele scrise mai sus.
Acum vine întrebarea firească: De ce face Google toate aceste lucruri, mai ales că este o metodă folosită în special de către cercetători şi nu de infractorii cibernetici?
Niciodată cei pusi pe rele nu vor pune într-un e-mail o arhivă virusată care să conţină parola “infected”, din motive evidente.
De obicei, hackerii care trimit viruşi ataşaţi mesajului, scriu şi parola de dezarhivare în conţinutul acestuia, asta însemnând că Google ar trebui să se îndrepte în această direcţie, nu să încerce parole pe arhive trimise de către cercetători între ei.
Print screen cu testele mele:
– arhive cu/fără viruşi în ele, numele fiind “infected”. Doream să văd dacă nu cumva Google citeşte doar denumirea arhivei, fără a o dezarhiva.
– arhive virusate care aveau denumirea “infected” şi parola diferită, sau nume diferit şi parola “infected”.
