Dlaczego oprogramowanie antywirusowe nie usuwa wirusów, złośliwego oprogramowania itp., Lecz je poddaje kwarantannie?

124

Dlaczego oprogramowanie antywirusowe nie usuwa całkowicie wirusów, złośliwego oprogramowania itp., Lecz je poddaje kwarantannie? Czy nie lepiej się ich całkowicie pozbyć? Dlaczego? Jak mogę je ręcznie usunąć?

Sardar_Usama
źródło
123
Kilka tygodni temu ClamWin AV zaczął wykrywać wszystkie docxpliki utworzone w polskiej wersji programu Word jako złośliwe. Sam nie używam ClamWin, ale chyba ci, którzy to robią, byli wdzięczni za kwarantannę.
gronostaj
10
Ta dyskusja zrodził powiązane pytanie Sec.SE .
Ben N
5
Niemal każdy program antywirusowy, którego użyłem, pozwala wybrać, co dzieje się po wykryciu określonego zagrożenia (czy ignoruje, poddaje kwarantannie lub usuwa podejrzany plik ...).
Przełom
8
Dla osób proszących o zamknięcie tego pytania jako opartego na opiniach : istnieją powody, aby umieścić pliki w kwarantannie, które nie są oparte na opiniach: fałszywie dodatni, w przyszłości możliwość odzyskania pliku, częściowe odzyskanie zainfekowanego pliku, możliwość zbadania wirusa. . wybór zachować lub nie do utrzymania ich może być ostatecznie osobistego, nawet jeśli nie całkowicie arbitralne: rzeczywiście, jeśli plik jest rozpowszechniany jeden (część programu) możliwe jest kopiowanie / pobrać go z bezpiecznego źródła i zastąpić oryginalny bez konieczności zatrzymywania zainfekowanej kopii. Zamiast tego nie ma szans na te wykonane przez nas (tutaj osobiste)
Hastur
6
Wiele lat temu pakiet AV, którego nazwiska nie wspomnę ( kaszel Symantec kaszel ) postanowił setek flagi DLL systemu jako zainfekowany podczas rutynowego skanowania noc. Oczywiście poddanie kwarantannie połowy systemu operacyjnego nie przebiegło dobrze po ponownym uruchomieniu systemu Windows. Maszyna była całkowicie zamurowana i nie można jej było uruchomić nawet w trybie awaryjnym. Musiałem więc usunąć HD z komputera, umieścić go na innym komputerze jako drugi dysk i przenieść biblioteki DLL z powrotem tam, gdzie były. Zajęło to cały dzień. Zastanów się, co by się stało, gdyby te pliki zostały usunięte zamiast poddane kwarantannie.
Carey Gregory,

Odpowiedzi:

135

Wirusy i złośliwe oprogramowanie nie są niebezpieczne, jeśli nie zostaną wykonane.
Plik w kwarantannie nie może być wykonany przez użytkownika, a złośliwy kod (wirus lub złośliwe oprogramowanie ) nie ma możliwości działania. Jeśli wirus / złośliwe oprogramowanie można usunąć, zostanie ono natychmiast usunięte.
Jeśli nie, plik zostanie przeniesiony do kwarantanny.

Istnieją różne przyczyny tego:

  • Fałszywie pozytywny (co podkreślają również inne odpowiedzi, patrz poniżej w dalszej części Wyjaśnienie ).
  • Przyszła możliwość odzyskania pliku (wirus dodaje swój kod do oryginalnego pliku i przenosi / crypt / ukrywa część oryginalnego kodu. Obecnie nie jest możliwe odzyskanie pliku, ale być może w niedalekiej przyszłości będzie).
    Rzeczywiście, jeśli plik jest unikalny (np. Utworzony przez właściciela komputera) i jest w jakiś sposób cenny , użytkownik może znaleźć sposób na odzyskanie wszystkich części, które nadal można z niego odzyskać. Część pracy magisterskiej (lub obrazu) jest zawsze lepsza niż nic.
  • Możliwość zbadania wirusa przez firmę antywirusową lub zindywidualizowania innego komputera za pomocą infekcji (wyobraźmy sobie, że plik został zaatakowany przez wirusa. Jego podpis md5sumzmienia się. Masz ten sam plik na wielu komputerach. Jeśli podpis jest taki sam, to może zgadnąć, że zostały zaatakowane. Jeśli zaznaczysz swoje kopie zapasowe, możesz znaleźć pierwszy raz, kiedy wirus zadziałał).
    Uwaga: historycznie „kwarantanna” była okresem 40-dniowej izolacji statków i ludzi przed wejściem do miasta, aby zapobiec rozprzestrzenianiu się Czarnej Śmierci, aby sprawdzić, czy wirus się rozwinie. Na naszych komputerach kwarantanna jest po prostu bezpiecznym miejscem, w którym można pozostawić nieaktywne podejrzane pliki, nie obserwując żadnych działań wirusa.

  • W kwarantannie może skończyć się nawet plikiem wykonywalnym, który zostanie zmieniony.
    Wyobraź sobie, że masz program, który rekompilujesz, lub program typu open source, który nie jest aktualizowany zwykłymi sposobami systemu Windows: program antywirusowy może exewykryć działania (pisanie) w pliku do cięcia i umieścić go w kwarantannie.
    Co więcej, ponieważ istnieją pliki z aktywną zawartością (np. Makro Word lub eXcel ...), niektóre programy antywirusowe mogą wykryć różnice w częściach wykonywalnych i interpretować je jako wywołane działaniem wirusa.

  • Jeśli masz tę samą wersję pliku zaatakowaną przez wirusa na różne sposoby , (teoretycznie) można odzyskać plik, krzyżując i analizując dane tych wersji.

Dalsze wyjaśnienia
Pomyśl jak wirus i program antywirusowy, aby zrozumieć, dlaczego kwarantanna istnieje, dlaczego mogą być fałszywe alarmy i dlaczego ta bitwa trwa codziennie.

Wirus (lub złośliwe oprogramowanie ) to skompilowany kod, który wykonuje cel tego, do czego został zaprogramowany.
Jako skompilowany kod jest binarny (zwykle), a nie tekstowy (jak to, co czytasz). Musi się propagować i odrobić pracę domową (misję, technicznie ładunek ), niekoniecznie w tym samym czasie (zwiększa to możliwość rozprzestrzeniania się infekcji, zanim zostanie wykryta).

W jaki sposób wirus może się rozprzestrzeniać i być uruchamiany?

  • Po prostu może zastąpić część pierwotnego kodu ( exe, dll, com... pliki) i umieścić swój kod zamiast.

    Wirus DOS
    Przykład starożytnego wirusa DOS działającego w takim trybie .
    Wadą jest to, że oryginalny program może przestać działać, a wirus może zostać wykryty szybciej (np. „Cześć, mój program nie działa… dzieją się dziwne rzeczy… czy możesz pomóc? - Tak, proszę pana, masz wirus ” ).

  • Może skopiować początkową część pliku, który ma zostać zainfekowany, na końcu, po czym może umieścić się zamiast pierwszej części. Więc kiedy uruchamiasz program, wirus jest najpierw uruchamiany, a dopiero potem program jest wykonywany ... Mądrzejszym wariantem jest skopiowanie się na końcu pliku i umieszczenie przeskoku na końcu na początku pliku ( i jeden powrót do początku na końcu) ... Wadą jest to, że antywirus może wyszukiwać kod wirusa (kiedyś znany) i łatwo go znaleźć. Stało się tak w wirusie Cascade w latach 80. i 90. XX wieku ...

    Wirus kaskadowy

  • Może składać się z części, a on ( nie zauważaj ) może zmieniać swój kształt i ukrywać się w różnych częściach programu, przenosić je, szyfrować i szyfrować. Za każdym razem może zainfekować nowy plik w inny sposób. Dlatego program antywirusowy może znaleźć jedynie odciski palców - każdego dnia trudniej go zidentyfikować.

Czy pamiętasz, że wirus to (zwykle) kod binarny? Odciski palców też są.
Ponieważ nie są to pełne wirusy, ale tylko kilka bajtów, może się zdarzyć, że część skompresowanego pliku, pliku danych lub obrazu ma te same bajty jednego z wielu znanych odcisków palców wirusów - stąd fałszywy wynik dodatni.

Ostateczna uwaga: nie wszystkie wirusy miały na celu uszkodzenie, ale większość z nich to robi, de facto .
Przy rzeczywistym użyciu komputerów z kontami bankowymi i rachunkami do zapłaty nie wydaje się to już tak zabawne, jak na powyższych obrazkach.

Hastur
źródło
4
Daj +1 w tym konkretnym przypadku ze względu na przyszłą możliwość odzyskania pliku - dawno temu był to standardowy sposób działania oprogramowania antywirusowego!
puszysty
3
@MSalters. Nie, niestety brak automatycznej korekty. Mówiłem w przenośni (a przynajmniej próbowałem): wirus rozprzestrzenia się z pliku na inny (może inny komputer ...). Następnie znajduje się w pliku (znajduje dom). Potem czeka ... a następnie wykonuje to, do czego został nauczony (zaprogramowany). Stąd termin „praca domowa” Możesz go odczytać jako „misja” , powinien być bardziej zrozumiały, ale bardziej przypomina to, że widzisz wirusa jako żołnierza. BTW dzięki za miejsce, odpowiedź zaktualizowana.
Hastur
41
Jestem ciekawy części „on (nie pamiętaj)”. O czym to było?
Alpha
3
W zdaniu „W kwarantannie można nawet wykonać plik wykonywalny”, nie mogę zrozumieć, co znaczy słowo „gotowe”. Czy możesz to wyjaśnić?
Tanner Swett
4
@Alpha (i inni ...) To sprawa osobista, związana ze sposobem, w jaki „wyczuwam” tego rodzaju wirusy. Formatorzy wykonywali podstawowe zadania, na ślepo, bez żadnego blasku. Ale potem zaczęli się modyfikować, ukrywać i pozostać śpiący , szyfrując się, ewoluując ... - łatwe do znalezienia warianty nie miały szans przetrwania, opierając się próbom ich zabicia ; spójrz: użyłem „przetrwania” i „zabicia” , domyślnie zaczynam rozpoznawać ich jakąś godność jako wyraz Inteligencji, tak jakby byli żywi ... więc już nie to, ale on lub ona, jeśli wolisz.
Hastur
89

Aplikacje antywirusowe zapewniają opcję kwarantanny, która często jest domyślnie włączona z dwóch powodów:

  1. Zachowaj kopię zapasową elementów zidentyfikowanych jako groźne w przypadku fałszywie dodatniego wyniku. Chociaż niezbyt często, widziałem przypadki fałszywie pozytywne w wielu różnych legalnych plikach aplikacji i sterownikach.
  2. Umieszczenie przedmiotu w kwarantannie może pozwolić na jego lepsze zbadanie. Fakt, że pasuje do sygnatury złośliwego oprogramowania, nie oznacza, że ​​jest on po prostu podobny, ale może mieć inne cechy.
Julie Pelletier
źródło
39
Ponadto, jeśli złośliwe oprogramowanie osadziło się w pliku, który naprawdę chcesz, takim jak dokument Word lub podobny, natychmiastowe usunięcie może być najgorszą opcją z punktu widzenia użytkowników. Kwarantanna przynajmniej daje szansę, choć ryzykowną, na odzyskanie zawartości.
Mokubai
8
Ponadto oprogramowanie anty-malware może mieć inne rozumienie niż ty w klasyfikacji. Niektóre programy antywirusowe są znane z wykrywania narzędzi SysAdmin jako szkodliwego oprogramowania i niektóre z nich usuwają połowę mojej pamięci USB bez pytania, kiedy podłączam ją do komputerów niektórych firm i szkół. Netcat, Wireshark itp. są znanymi kandydatami. Widziałem także ludzi przechowujących jedyną kopię swojej pracy magisterskiej na pamięci USB. Mam nadzieję, że skaner anty-malware nie wykrywa go jako fałszywie pozytywnego i usuwa go bez pytania.
H. Idden,
13
Niezbyt często? Myślę, że prawie wszystkie wykrycia mojego programu antywirusowego były fałszywie pozytywne.
Oriol
6
@JuliePelletier Na stosunek fałszywych trafień duży wpływ mają działania użytkownika. Nigdy nie mam wirusa, złośliwego oprogramowania ani nic podobnego, ponieważ jestem bardzo ostrożny. To automatycznie powoduje, że większość (jeśli nie wszystkie) wykrycia są fałszywie dodatnie. Oczywiście nadal używam antywirusa :).
Mixxiphoid
3
@Mokubai Ciekawym pomysłem jest to, że wirus może siać spustoszenie, dodając sygnaturę viri do legalnych plików - co powoduje, że av wykonuje brudną robotę.
emory
72

Z tego samego powodu, dla którego (większość) rządy aresztują podejrzanych przestępców, zamiast strzelać do nich na ulicy przy najmniejszej prowokacji:

Chcesz dać podejrzanemu szansę na obronę, na wypadek gdyby w rzeczywistości nie popełnił on żadnego przestępstwa. I nawet jeśli popełnili przestępstwo, prawdopodobnie chcesz się o tym dowiedzieć.

Lekkość Wyścigi na orbicie
źródło
38
Zgodnie z tą analogią powinien istnieć przynajmniej jakiś program antywirusowy, który domyślnie usuwa ...
PlasmaHH
5
@ ΈρικΚωνσταντόπουλος: Co za śmieszne stwierdzenie . Czy system Windows 7 również „nie istnieje”?
Wyścigi lekkości na orbicie
9
@ ΈρικΚωνσταντόπουλος: Ludzie będą używać Windows 7 i 8 przez długi czas. W rocznym oprogramowaniu nie ma nic „nieistniejącego”. Nie bądź taki głupi!
Wyścigi lekkości na orbicie
14
@ ΈρικΚωνσταντόπουλος Windows 7 rozszerzył wsparcie do 2020 roku, kolego; Windows 8 do 2023 roku. Próbuję wykryć twój punkt. Co to jest?
Lekkość ściga się na orbicie
20
@ ΈρικΚωνσταντόπουλος Tak, w 2023 roku. O co ci chodzi?
Wyścigi lekkości na orbicie
1

Wirusy (na przykład) niekoniecznie są „samodzielnymi” plikami binarnymi (.exe). Tradycyjnie wiele z nich „przywiązuje się” do (wielu) normalnych plików wykonywalnych. (stąd wybór słowa: „zarażać”)

Dlatego „usunięcie” pliku złośliwego oprogramowania nie jest jedyną opcją. Wiele AV oferuje opcję „czyszczenia” zainfekowanych plików. (usuń część wirusa z normalnych plików programu. zostaw normalny program tam, gdzie jest).

„Rozprzestrzenianie się infekcji” nie opierałoby się wówczas na „uruchomieniu złośliwego oprogramowania” (widoczny proces .exe) - lecz na uruchomieniu dowolnego „normalnego programu” (Word, Excel). (lub otwórz zwykły dokument za pomocą tych)

Przeniesienie „normalnego, ale zainfekowanego” pliku programu do miejsca kwarantanny jest pierwszym krokiem do powstrzymania rozprzestrzeniania się infekcji. Tam jest mniej prawdopodobne, że będzie wykonywana w sposób ciągły podczas codziennej operacji.

Kwarantanna daje opcje przed usunięciem. W przypadku niepowodzenia „czyszczenia”. Jeśli masz „lepsze narzędzie” w innym miejscu. Lub jeśli nadal potrzebujesz wszystkich tych zainfekowanych plików. (do analizy, odzyskiwania danych)

użytkownik18099
źródło
0

Czasami programy antywirusowe mogą uznać twoje ważne pliki za złośliwe i zamiast automatycznie je usuwać poddaje je kwarantannie tam, gdzie nie mogą wykonać plików ani uzyskiwać do nich dostępu, i powiadamia o jego działaniach.

użytkownik615537
źródło
Witamy w Super User! Ta odpowiedź nie dodaje nic nowego do wątku. Przeczytaj pozostałe odpowiedzi, zanim opublikujesz coś jako odpowiedź.
rahuldottech