Questão Por que o software antivírus não exclui os vírus, malwares etc., mas os coloca em quarentena?


Por que o software antivírus não exclui completamente os vírus, malwares etc., mas os coloca em quarentena? Não é melhor se livrar completamente deles? Por quê? E como posso removê-los manualmente?


122


origem


Algumas semanas atrás, o ClamWin AV começou a detectar docx arquivos criados na versão polonesa do Word como maliciosos. Eu não uso o ClamWin, mas acho que aqueles que o fizeram ficaram agradecidos por terem a quarentena. - gronostaj
Esta discussão gerou um questão Sec.SE relacionada. - Ben N
Quase todos os programas antivírus que usei permitem escolher o que acontece quando uma determinada ameaça é detectada (se ignora, coloca em quarentena ou exclui o arquivo suspeito ...). - Breakthrough
Para os que pedem para fechar esta questão como opinião baseada: há razões para colocar arquivos em quarentena que não são baseados em opinião: falso positivo, possibilidade futura de recuperar o arquivo, recuperação parcial do arquivo infectado, possibilidade de estudar o vírus ... A escolha manter ou não manter elas podem ser eventualmente pessoais, mesmo que não sejam completamente arbitrárias: na verdade, se um arquivo for distribuído (uma parte do programa), é possível copiar / fazer o download de uma fonte segura e substituir o original sem necessidade de manter a cópia infectada. Nenhuma chance em vez disso para os feitos por nós (aqui pessoal) - Hastur
Há muitos anos um pacote AV cujo nome não mencionarei (tosseSymantectosse) Decidiu marcar centenas de DLLs do sistema como infectadas durante uma varredura de rotina durante a noite. Naturalmente, a quarentena de metade do sistema operacional não foi bem quando o Windows foi reinicializado. A máquina estava completamente emparedada e não podia ser inicializada nem no modo de segurança. Então eu tive que remover o HD da máquina, colocá-lo em outra máquina como uma segunda unidade e mover as DLLs de volta para onde elas pertenciam. Isso levou um dia inteiro para realizar. Considere o que teria acontecido se esses arquivos tivessem sido excluídos em vez de colocados em quarentena. - Carey Gregory


Respostas:


Vírus e malwares não são perigosos se não executados.
Um arquivo em quarentena não pode ser executado pelo usuário e pelo código malicioso (vírus ou malwares) não tem possibilidade de agir. Se o vírus / malware for removível, ele será removido imediatamente.
Se não, o arquivo será movido para a quarentena.

Existem diferentes razões por esta:

  • Falso positivo (como salientado por outras respostas também, veja abaixo Mais explicações).
  • Possibilidade futura de recuperar o arquivo (o vírus adiciona seu código dentro do arquivo original e move / crypt / hide parte do código original em algum lugar. Actualmente, não é possível recuperar o arquivo, mas talvez em um futuro próximo, será).
    Na verdade, se o arquivo é único (por exemplo, um criado pelo proprietário do computador) e é de alguma forma precioso, o usuário pode encontrar uma maneira de recuperar todas as partes que ainda podem ser recuperadas. Uma parte de uma tese (ou de uma imagem) é sempre melhor que nada.
  • Possibilidade de estudar o vírus pela empresa de antivírus ou para individualizar outro computador com a infecção (vamos imaginar que você tenha um arquivo atacado por um vírus. Sua assinatura, md5sum alterar. Você tem o mesmo arquivo em muitos computadores. Se a assinatura for a mesma, você pode adivinhar que eles foram atacados. Se você fizer o check-in de seus backups, poderá encontrar a primeira vez que o vírus agiu).
     Nota: historicamente o "quarentena" Foi um período de 40 dias de isolamento para navios e pessoas antes de entrar na cidade, a fim de evitar a difusão da Peste Negra, para ver se o vírus se desenvolve ou não. Em nossos computadores, a quarentena é apenas um lugar seguro para manter inativos os arquivos suspeitos, sem observar quaisquer ações do vírus.  

  • Na quarentena pode acabar até um arquivo executável que é alterado.
    Imagine que você tenha um programa que você recompilar ou um programa de código aberto que seja atualizado não por meio de janelas usuais: o antivírus pode observar atividades (escrita) em um exearquivo cortável e colocá-lo em quarentena.
    Além disso, desde que existem alguns arquivos com conteúdo ativo (como, por exemplo, Word ou macro eXcel ...), alguns antivírus podem detectar diferenças nas partes executáveis ​​e interpretá-las como produzidas pela ação de um vírus.

  • Se você tem a mesma versão de um arquivo atacado de um vírus de maneiras diferentes, pode ser (teoricamente) possível recuperar o arquivo cruzando e analisando dados dessas versões.

Mais explicações
Pense como um vírus e um antivírus para entender por que a quarentena existe, por que pode haver falsos positivos e por que essa é uma batalha que continua a cada dia.

Um vírus (ou um malwares) é um código compilado que executa o propósito para o que foi programado.
Como código compilado, é binário (geralmente) e não texto (como o que você está lendo). Tem que ser propagar em si e executar alguns dever de casa (uma missão, tecnicamente um carga útil), não necessariamente ao mesmo tempo (isso aumenta a possibilidade de espalhar a infecção antes que ela seja detectada).

Como um vírus pode se propagar e ser executado?

  • Simplesmente pode sobrescrever uma parte do código original (exe,dll,com... arquivos) e colocar seu código em seu lugar.

    DOS virus
    Exemplo de um antigo Vírus DOS que age de tal modo.
    A desvantagem é que o programa original pode parar de funcionar e o vírus pode ser detectado mais rapidamente (por exemplo: "... olá meu programa não está funcionando ... coisas estranhas estão acontecendo ... você pode ajudar? - Sim senhor você tem um vírus").

  • Pode copiar a parte inicial do arquivo a ser infectado no seu final, depois pode colocar-se em vez da primeira parte. Então, quando você executa o programa, o vírus é executado em primeiro lugar e só então o programa é executado ... Uma variante mais inteligente é copiar-se no final do arquivo e colocar um salto para o final no início do arquivo ( e um de volta ao seu começo no final) ... A desvantagem é que um antivírus pode procurar o código do vírus (uma vez conhecido) e encontrá-lo facilmente. Isso aconteceu no Vírus em cascata nos anos 80-90 ... 

    Cascade virus

  • Pode ser feito de peças e ele (note não é) pode mudar sua forma e esconda-se em diferentes partes do programa, mova-os, criptografe-os e embaralhe-os. Cada vez que ele pode infectar um novo arquivo de uma maneira diferente. Portanto, o antivírus só pode encontrar restos nas impressões digitais - a cada dia ele é mais difícil de identificar.

Agora, você se lembra de que o vírus é (geralmente) um código binário? Bem, as impressões digitais também são.
Como eles não são o vírus completo, mas apenas alguns bytes, pode acontecer de uma parte de um arquivo compactado, arquivo de dados ou imagem ter os mesmos bytes de uma das muitas impressões digitais de vírus conhecidas - daí o falso positivo.

Nota conclusiva: nem todos os vírus foram planejados para danificar, mas a maioria deles faz isso, de fato.
Com o uso real de computadores com contas bancárias e contas a pagar, não parece mais tão engraçado quanto as imagens acima.


135



+1 sobre isso especificamente por causa de possibilidade futura de recuperar o arquivo - Era uma vez este foi um curso padrão de operação para o software antivírus! - fluffy
@MSalters Não, infelizmente não há correção automática. Eu estava falando figurativamente (ou pelo menos eu estava tentando): um vírus se propaga de um arquivo para outro (talvez outro computador ...). Em seguida, ele reside em um arquivo (ele encontra em casa). Então espera ... então executa o que foi ensinado (programado para). Daqui o termo "dever de casa"  Você pode lê-lo como "missão", deve ser mais claro, mas é mais como se você vir um vírus como soldado. BTW obrigado pelo local, responder atualizado. - Hastur
Estou curioso sobre a porção "ele (note que não)". O que foi aquilo? - Alpha
Na frase "Na quarentena, até mesmo um executável pode ser concluído", não consigo descobrir o que a palavra "terminado" significa. Você pode esclarecer isso? - Tanner Swett
@Alpha (e outros ...) É pessoal, relacionado à maneira como eu "sentido" esse tipo de vírus. Os formadores executaram tarefas básicas, cegamente, sem exibir qualquer tipo de brilho. Mas então eles começaram a se modificar, esconder e permanecer dorminhoco, criptografando-se, de alguma forma evoluindo ... - as variantes fáceis de serem encontradas não tinham possibilidades de sobreviver resistindo às suas tentativas de matar eles; olha: eu usei "sobreviver" e "matar", implicitamente eu começo a reconhecê-los algum tipo de dignidade como expressão da Inteligência, como se eles estivessem vivos ... então não mais, mas ele,ou ela se você preferir. - Hastur


Os aplicativos antimalware fornecem uma opção de quarentena, que geralmente está ativada por padrão por dois motivos:

  1. Mantenha um backup dos itens identificados como ameaçadores no caso de um falso positivo. Embora não seja muito comum, tenho visto casos de falsos positivos em muitos arquivos e drivers de aplicativos legítimos diferentes.
  2. Ter o item em quarentena pode permitir que ele seja melhor investigado. O fato de que ele corresponda a uma assinatura de malware não significa que é apenas semelhante, mas pode realmente ter outras particularidades.

89



Além disso, se o malware tiver incorporado um arquivo que você realmente deseja, como um documento do Word ou similar, a exclusão definitiva pode ser a pior opção da perspectiva do usuário. A quarentena, pelo menos, lhe dá uma chance, por mais arriscada, de recuperar o conteúdo. - Mokubai♦
Além disso, o software anti-malware pode ter um entendimento diferente do que você na classificação. Alguns softwares antivírus são conhecidos por detectar ferramentas do SysAdmin como malware e descobri que alguns deles excluíam metade do meu USB-Stick sem perguntar quando eu o conectava a computadores de certas empresas e escolas. netcat, wireshark, etc. são conhecidos canditados. Eu também vi pessoas armazenando sua única cópia de sua tese de mestrado em um dispositivo USB. Espero que o scanner anti-malware não o detecte como falso positivo e o exclua sem perguntar. - H. Idden
Não é muito comum? Acho que quase todas as detecções que meu antivírus teve foram falsos positivos. - Oriol
@ JuliePelletier A proporção de falsos positivos é fortemente influenciada pelas ações do usuário. Eu nunca tenho um vírus, malware ou qualquer coisa assim porque eu tenho muito cuidado. Isso faz com que a maioria das detecções (se não todas) sejam falsos positivos. Eu ainda uso um anti-vírus, claro :). - Mixxiphoid
@Mokubai É uma idéia interessante que um vírus pode causar estragos, adicionando a assinatura viri a arquivos legítimos - fazendo com que o av o trabalho sujo. - emory


Pela mesma razão que (a maioria) os governos prendem suspeitos criminosos em vez de atirar na rua sob a menor provocação:

Você quer dar ao suspeito a chance de se defender, caso ele não cometa nenhum crime. E, mesmo se eles cometeram um crime, você provavelmente quer descobrir tudo sobre isso.


72



Por essa analogia, deve haver pelo menos alguns antivírus que apagam por padrão ... - PlasmaHH
@ ΈρικΚωνσταντόπουλος: Que afirmação ridícula. O Windows 7 também "não existe"? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος: As pessoas estarão usando o Windows 7 e 8 por um longo tempo. Não há nada "inexistente" sobre um software de um ano de idade. Não seja tão bobo! - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος O Windows 7 estendeu o suporte até 2020, mate; Windows 8 até 2023. Estou lutando para detectar seu ponto. O que é isso? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος Sim, em 2023. Qual é o seu ponto? - Lightness Races in Orbit


Os vírus (por exemplo) não são necessariamente um binário "autônomo" (.exe). Tradicionalmente, muitos deles "se ligam" a (muitos) executáveis ​​normais. (daí a escolha da palavra: "infectar")

Portanto, "exclusão" do arquivo de malware não é a única opção. Muitos antivírus oferecem a opção de "limpar" os arquivos infectados. (remova a parte de vírus dos arquivos normais do programa. deixe o programa normal onde está.)

"A disseminação da infecção" não seria baseada em "executar o malware" (processo visível .exe) - mas com base na execução qualquer "programa normal" (Word, Excel). (ou abra um documento normal com aqueles)

Mover o arquivo de programa "normal, mas infectado" para um local de quarentena é o primeiro passo para parar espalhando a infecção. Lá, é menos provável que seja executado continuamente durante a operação diária.

A quarentena fornece opções antes da exclusão. No caso da "limpeza" falhou. No caso de você ter uma "ferramenta melhor" em outro lugar. Ou caso você ainda precise de todos os arquivos infectados. (para análise, recuperação de dados)


1





Às vezes, os antivírus podem considerar seus arquivos importantes como mal-intencionados e, em vez de excluí-los automaticamente, os coloca em quarentena onde não podem executar ou acessar seus arquivos e notificá-lo sobre suas ações.


0



Bem-vindo ao superusuário! Essa resposta não adiciona nada de novo ao thread. Por favor, leia as outras respostas antes de postar algo como resposta. - rahuldottech