Perché il software antivirus non elimina virus, malware, ecc., Ma li mette in quarantena?

124

Perché il software antivirus non elimina completamente virus, malware, ecc., Ma li mette in quarantena? Non è meglio liberarsene completamente? Perché? E come posso rimuoverli manualmente?

virus  anti-virus  malware  virus-removal  anti-malware 
Sardar_Usama
fonte
123
Alcune settimane fa ClamWin AV ha iniziato a rilevare docxcome dannosi tutti i file creati nella versione polacca di Word. Non uso ClamWin da solo, ma immagino che quelli che lo hanno fatto siano stati grati per la quarantena.
Gronostaj,
10
Questa discussione ha generato una domanda Sec.SE correlata .
Ben N
5
Quasi ogni singolo programma antivirus che ho usato ti consente di scegliere cosa succede quando viene rilevata una determinata minaccia (se ignora, mette in quarantena o elimina il file sospetto ...).
Breakthrough
8
A coloro che chiedono di chiudere questa domanda come opinione : ci sono ragioni per mettere in quarantena i file che non sono basati su opinioni: falsi positivi, possibilità futura di recuperare il file, recupero parziale del file infetto, possibilità di studiare il virus. . la scelta di tenere o non tenere loro può essere eventualmente personale, anche se non del tutto arbitrario: infatti se un file è un (una parte del programma) distribuito è possibile copiare / scaricare da una fonte sicura e sostituire l'originale senza necessità di conservare la copia infetta. Nessuna possibilità invece per quelli fatti da noi (qui personali)
Hastur,
6
Molti anni fa un pacchetto AV il cui nome non menzionerò ( tosse Symantec tosse ) ha deciso di contrassegnare centinaia di DLL di sistema come infette durante una scansione notturna durante la notte. Naturalmente, la quarantena della metà del sistema operativo non è andata bene quando è stato riavviato Windows. La macchina era completamente in muratura e non poteva essere avviata nemmeno in modalità provvisoria. Quindi ho dovuto rimuovere l'HD dalla macchina, inserirlo in un'altra macchina come seconda unità e spostare le DLL di nuovo al loro posto. Ciò ha richiesto un'intera giornata. Considera cosa sarebbe successo se quei file fossero stati eliminati anziché messi in quarantena.
Carey Gregory,

Risposte:

135

Virus e malware non sono pericolosi se non eseguiti.
Un file in quarantena non può essere eseguito dall'utente e il codice dannoso (virus o malware ) non ha alcuna possibilità di agire. Se il virus / malware è rimovibile, verrà rimosso immediatamente.
In caso contrario, il file verrà spostato in quarantena.

Ci sono diversi motivi per questo:

  • Falso positivo (come sottolineato anche da altre risposte, vedi sotto in Ulteriori spiegazioni ).
  • Possibilità futura di recuperare il file (il virus aggiunge il suo codice all'interno del file originale e sposta / cripta / nasconde da qualche parte parte del codice originale. Al momento non è possibile ripristinare il file, ma forse in un prossimo futuro lo sarà).
    Infatti, se il file è unico (ad es. Uno creato dal proprietario del computer) ed è in qualche modo prezioso , l'utente può trovare un modo per recuperare tutte le parti che è ancora possibile recuperare da esso. Una parte di una tesi (o di un'immagine) è sempre meglio di niente.

  • Possibilità di studiare il virus dall'azienda antivirus o di individuare un altro computer con l'infezione (immaginiamo di avere un file attaccato da un virus. La sua firma, md5sumcambia. Hai lo stesso file su molti computer. Se la firma è la stessa tu può indovinare che vengono attaccati. Se esegui il check-in, puoi trovare la prima volta che il virus ha agito).
    Nota: storicamente la "quarantena" era un periodo di isolamento di 40 giorni per le navi e le persone prima di entrare in città per prevenire la diffusione della Morte Nera, per vedere se il virus si sviluppa o no. Sui nostri computer la quarantena è solo un luogo sicuro dove mantenere inattivi i file sospetti, senza osservare alcuna azione del virus.

  • In quarantena può finire anche un file eseguibile che viene modificato.
    Immagina di avere un programma da ricompilare o un programma open source che non viene aggiornato tramite i normali modi di Windows: l'antivirus può notare attività (scrittura) su un exefile tagliabile e metterlo in quarantena.
    Inoltre, poiché esistono alcuni file con contenuto attivo (come, ad esempio, macro Word o eXcel ...), alcuni antivirus possono individuare le differenze nelle parti eseguibili e interpretare quelle prodotte dall'azione di un virus.

  • Se hai la stessa versione di un file attaccato da un virus in diversi modi , può essere (teoricamente) possibile recuperare il file attraversando e analizzando i dati di queste versioni.

Ulteriore spiegazione
Pensa come un virus e un antivirus per capire perché esiste la quarantena, perché possono esserci falsi positivi e perché questa è una battaglia che continua ogni giorno.

Un virus (o un malware ) è un codice compilato che esegue lo scopo per ciò che è stato programmato.
Come codice compilato, è binario (di solito) e non testo (come quello che stai leggendo). Deve propagarsi ed eseguire alcuni compiti (una missione, tecnicamente un carico utile ), non necessariamente allo stesso tempo (ciò aumenta la possibilità di diffondere l'infezione prima che venga rilevata).

Come può un virus propagarsi da solo ed essere eseguito?

  • Semplicemente si può sovrascrivere una parte del codice originale ( exe, dll, com... i file) e mettere il suo codice, invece.

    Virus DOS
    Esempio di un antico virus DOS che agisce in tale modalità .
    Lo svantaggio è che il programma originale può smettere di funzionare e il virus può essere rilevato più velocemente (ad esempio: "... ciao il mio programma non funziona ... stanno accadendo cose strane ... puoi aiutarmi? - Sì signore hai un virus " ).

  • Può copiare la parte iniziale del file da infettare alla fine, dopo che può inserirsi al posto della prima parte. Quindi, quando esegui il programma, il virus viene prima eseguito e solo allora il programma viene eseguito ... Una variante più intelligente è quella di copiarsi alla fine del file e di saltare alla fine all'inizio del file ( e uno torna al suo inizio alla fine) ... Lo svantaggio è che un antivirus può cercare il codice del virus (una volta conosciuto) e trovarlo facilmente. Questo è successo nel virus Cascade negli anni '80 -'90 ...

    Virus a cascata

  • Può essere fatto di parti e lui ( non notarlo ) può cambiare forma e nascondersi in diverse parti del programma, spostarle, crittografarle e scramble. Ogni volta che può infettare un nuovo file in modo diverso. Pertanto l'antivirus può trovare solo resti nelle impronte digitali, ogni giorno è più difficile identificarlo.

Ora, ti ricordi che il virus è (di solito) codice binario? Bene, anche le impronte digitali.
Dato che non sono il virus completo ma solo pochi byte, può capitare che una parte di un file compresso, un file di dati o un'immagine abbia gli stessi byte di una delle molte impronte digitali dei virus noti, da cui i falsi positivi.

Nota conclusiva: non tutti i virus sono stati pianificati per danneggiare, ma la maggior parte di loro lo fa di fatto .
Con l'uso effettivo di computer con conti bancari e fatture da pagare, non sembra più così divertente come le immagini sopra.

Hastur
fonte
4
+1 su questo in particolare a causa della possibilità futura di recuperare il file - una volta questo era un corso standard per software antivirus!
soffice
3
@MSalters. No, purtroppo nessuna correzione automatica. Stavo parlando in modo figurato (o almeno ci stavo provando): un virus si propaga da un file all'altro (forse un altro computer ...). Quindi risiede in un file (trova casa). Quindi aspetta ... quindi esegue ciò per cui è stato insegnato (programmato). Da qui il termine "compiti a casa" Puoi leggerlo come "missione" , dovrebbe essere più chiaro, ma è più come se vedi un virus come un soldato. A proposito grazie per lo spot, risposta aggiornata.
Hastur,
41
Sono curioso della parte "lui (non notarlo)". Di che si trattava?
Alpha
3
Nella frase "In quarantena anche un eseguibile può essere finito", non riesco a capire cosa significhi la parola "finito". Puoi chiarire questo?
Tanner Swett,
4
@Alpha (e altri ...) È personale, legato al modo in cui "percepisco" quel tipo di virus. I formatori hanno eseguito i compiti di base, alla cieca, senza esibire alcun tipo di brillantezza. Ma poi hanno iniziato a modificarsi, a nascondersi e a dormire , a crittografare se stessi, in qualche modo evolvendosi ... le varianti facili da trovare non avevano possibilità di sopravvivere resistendo ai tuoi tentativi di ucciderle ; guarda: ho usato "sopravvivere" e "uccidere" , implicitamente comincio a riconoscere loro una sorta di dignità come espressione dell'intelligenza, come se fossero vivi ... quindi non più, ma lui o lei, se preferisci.
Hastur
89

Le applicazioni antimalware forniscono un'opzione di quarantena, che è spesso attivata per impostazione predefinita per due motivi:

  1. Conservare un backup degli elementi identificati come minacciosi in caso di falsi positivi. Sebbene non sia molto comune, ho visto casi di falsi positivi su molti file e driver di applicazioni legittimi diversi.
  2. Avere l'oggetto in quarantena può consentire di indagare meglio. Il fatto che corrisponda alla firma di un malware non significa che sia semplicemente simile, ma potrebbe in realtà avere altre particolarità.
Julie Pelletier
fonte
39
Inoltre, se il malware si è incorporato in un file che si desidera, ad esempio un documento di Word o simile, l'eliminazione definitiva potrebbe essere l'opzione peggiore dal punto di vista degli utenti. La quarantena ti dà almeno la possibilità, per quanto rischiosa, di recuperare i contenuti.
Mokubai
8
Inoltre, il software anti-malware potrebbe avere una comprensione diversa rispetto a te nella classificazione. Alcuni software antivirus sono noti per rilevare gli strumenti SysAdmin come malware e ne ho trovati alcuni che eliminano metà della mia chiavetta USB senza chiedere quando lo collego ai computer di determinate aziende e scuole. Netcat, WireShark, ecc. sono canditi noti. Ho anche visto persone archiviare la loro unica copia della loro tesi di laurea su una chiavetta USB. Spero che lo scanner anti-malware non lo rilevi come falso positivo e lo elimini senza chiedere.
H. Idden,
13
Non molto comune? Penso che quasi tutti i rilevamenti che il mio antivirus ha avuto siano stati falsi positivi.
Oriol,
6
@JuliePelletier Il rapporto tra falsi positivi è fortemente influenzato dalle azioni dell'utente. Non ho mai un virus, un malware o qualcosa del genere perché sto molto attento. Ciò rende automaticamente la maggior parte (se non tutte) le rilevazioni false falsi. Ovviamente uso ancora un antivirus :).
Mixxiphoid,
3
@Mokubai È interessante l'idea che un virus possa causare danni aggiungendo la firma viri ai file legittimi, facendo sì che av faccia il lavoro sporco.
emory
72

Per lo stesso motivo per cui (la maggior parte) i governi arrestano sospetti criminali invece di spararli sulla strada alla minima provocazione:

Volete dare al sospettato la possibilità di difendersi, nel caso in cui non abbiano commesso alcun crimine. E, anche se hanno commesso un crimine, probabilmente vorrai scoprire tutto a riguardo.

Corse di leggerezza in orbita
fonte
38
Per analogia, dovrebbero esserci almeno alcuni antivirus che eliminano per impostazione predefinita ...
PlasmaHH,
5
@ ΈρικΚωνσταντόπουλος: Che affermazione ridicola . Anche Windows 7 "non esiste"?
Razze di leggerezza in orbita
9
@ ΈρικΚωνσταντόπουλος: le persone useranno Windows 7 e 8 per molto tempo. Non c'è nulla di "inesistente" in un software di un anno. Non essere così sciocco!
Razze di leggerezza in orbita,
14
@ ΈρικΚωνσταντόπουλος Windows 7 ha esteso il supporto fino al 2020, amico; Windows 8 fino al 2023. Faccio fatica a rilevare il tuo punto. Che cos'è?
Razze di leggerezza in orbita,
20
@ ΈρικΚωνσταντόπουλος Sì, nel 2023. Qual è il tuo punto?
Razze di leggerezza in orbita,
1

I virus (ad esempio) non sono necessariamente binari "autonomi" (.exe). Tradizionalmente, molti di loro si "attaccano" a (molti) normali eseguibili. (da qui la scelta della parola: "infettare")

Pertanto, la "cancellazione" del file malware non è l'unica opzione. Molti AV offrono la possibilità di "pulire" i file infetti. (rimuovi la parte del virus da file di programma altrimenti normali. lascia il programma normale dove si trova.)

La "diffusione dell'infezione" non si baserebbe quindi sull'esecuzione del malware (processo visibile .exe), ma sull'esecuzione di qualsiasi "programma normale" (Word, Excel). (o apri un documento normale con quelli)

Spostare il file di programma "normale ma infetto" in una posizione di quarantena è un primo passo per interrompere la diffusione dell'infezione. Lì, è meno probabile che venga eseguito continuamente durante le operazioni quotidiane.

Quarantena offre opzioni prima dell'eliminazione. Nel caso in cui la "pulizia" fallisse. Nel caso in cui tu abbia uno "strumento migliore" da qualche altra parte. O nel caso abbiate ancora bisogno di tutti quei file infetti. (per analisi, recupero dati)

user18099
fonte
0

Solo a volte gli antivirus possono considerare dannosi i tuoi file importanti e invece di eliminarli automaticamente li mette in quarantena dove non possono eseguire o accedere ai tuoi file e ti avvisano delle sue azioni.

user615537
fonte
Benvenuto in Super User! Questa risposta non aggiunge nulla di nuovo alla discussione. Si prega di leggere le altre risposte prima di pubblicare qualcosa come risposta.
Rahuldottech,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.