Perché il software antivirus non elimina completamente virus, malware, ecc., Ma li mette in quarantena? Non è meglio liberarsene completamente? Perché? E come posso rimuoverli manualmente?
Perché il software antivirus non elimina completamente virus, malware, ecc., Ma li mette in quarantena? Non è meglio liberarsene completamente? Perché? E come posso rimuoverli manualmente?
Risposte:
Virus e malware non sono pericolosi se non eseguiti.
Un file in quarantena non può essere eseguito dall'utente e il codice dannoso (virus o malware ) non ha alcuna possibilità di agire. Se il virus / malware è rimovibile, verrà rimosso immediatamente.
In caso contrario, il file verrà spostato in quarantena.
Ci sono diversi motivi per questo:
Possibilità di studiare il virus dall'azienda antivirus o di individuare un altro computer con l'infezione (immaginiamo di avere un file attaccato da un virus. La sua firma, md5sum
cambia. Hai lo stesso file su molti computer. Se la firma è la stessa tu può indovinare che vengono attaccati. Se esegui il check-in, puoi trovare la prima volta che il virus ha agito).
Nota: storicamente la "quarantena" era un periodo di isolamento di 40 giorni per le navi e le persone prima di entrare in città per prevenire la diffusione della Morte Nera, per vedere se il virus si sviluppa o no. Sui nostri computer la quarantena è solo un luogo sicuro dove mantenere inattivi i file sospetti, senza osservare alcuna azione del virus.
In quarantena può finire anche un file eseguibile che viene modificato.
Immagina di avere un programma da ricompilare o un programma open source che non viene aggiornato tramite i normali modi di Windows: l'antivirus può notare attività (scrittura) su un exe
file tagliabile e metterlo in quarantena.
Inoltre, poiché esistono alcuni file con contenuto attivo (come, ad esempio, macro Word o eXcel ...), alcuni antivirus possono individuare le differenze nelle parti eseguibili e interpretare quelle prodotte dall'azione di un virus.
Se hai la stessa versione di un file attaccato da un virus in diversi modi , può essere (teoricamente) possibile recuperare il file attraversando e analizzando i dati di queste versioni.
Ulteriore spiegazione
Pensa come un virus e un antivirus per capire perché esiste la quarantena, perché possono esserci falsi positivi e perché questa è una battaglia che continua ogni giorno.
Un virus (o un malware ) è un codice compilato che esegue lo scopo per ciò che è stato programmato.
Come codice compilato, è binario (di solito) e non testo (come quello che stai leggendo). Deve propagarsi ed eseguire alcuni compiti (una missione, tecnicamente un carico utile ), non necessariamente allo stesso tempo (ciò aumenta la possibilità di diffondere l'infezione prima che venga rilevata).
Come può un virus propagarsi da solo ed essere eseguito?
Semplicemente si può sovrascrivere una parte del codice originale ( exe
, dll
, com
... i file) e mettere il suo codice, invece.
Esempio di un antico virus DOS che agisce in tale modalità .
Lo svantaggio è che il programma originale può smettere di funzionare e il virus può essere rilevato più velocemente (ad esempio: "... ciao il mio programma non funziona ... stanno accadendo cose strane ... puoi aiutarmi? - Sì signore hai un virus " ).
Può copiare la parte iniziale del file da infettare alla fine, dopo che può inserirsi al posto della prima parte. Quindi, quando esegui il programma, il virus viene prima eseguito e solo allora il programma viene eseguito ... Una variante più intelligente è quella di copiarsi alla fine del file e di saltare alla fine all'inizio del file ( e uno torna al suo inizio alla fine) ... Lo svantaggio è che un antivirus può cercare il codice del virus (una volta conosciuto) e trovarlo facilmente. Questo è successo nel virus Cascade negli anni '80 -'90 ...
Può essere fatto di parti e lui ( non notarlo ) può cambiare forma e nascondersi in diverse parti del programma, spostarle, crittografarle e scramble. Ogni volta che può infettare un nuovo file in modo diverso. Pertanto l'antivirus può trovare solo resti nelle impronte digitali, ogni giorno è più difficile identificarlo.
Ora, ti ricordi che il virus è (di solito) codice binario? Bene, anche le impronte digitali.
Dato che non sono il virus completo ma solo pochi byte, può capitare che una parte di un file compresso, un file di dati o un'immagine abbia gli stessi byte di una delle molte impronte digitali dei virus noti, da cui i falsi positivi.
Nota conclusiva: non tutti i virus sono stati pianificati per danneggiare, ma la maggior parte di loro lo fa di fatto .
Con l'uso effettivo di computer con conti bancari e fatture da pagare, non sembra più così divertente come le immagini sopra.
Le applicazioni antimalware forniscono un'opzione di quarantena, che è spesso attivata per impostazione predefinita per due motivi:
Per lo stesso motivo per cui (la maggior parte) i governi arrestano sospetti criminali invece di spararli sulla strada alla minima provocazione:
Volete dare al sospettato la possibilità di difendersi, nel caso in cui non abbiano commesso alcun crimine. E, anche se hanno commesso un crimine, probabilmente vorrai scoprire tutto a riguardo.
I virus (ad esempio) non sono necessariamente binari "autonomi" (.exe). Tradizionalmente, molti di loro si "attaccano" a (molti) normali eseguibili. (da qui la scelta della parola: "infettare")
Pertanto, la "cancellazione" del file malware non è l'unica opzione. Molti AV offrono la possibilità di "pulire" i file infetti. (rimuovi la parte del virus da file di programma altrimenti normali. lascia il programma normale dove si trova.)
La "diffusione dell'infezione" non si baserebbe quindi sull'esecuzione del malware (processo visibile .exe), ma sull'esecuzione di qualsiasi "programma normale" (Word, Excel). (o apri un documento normale con quelli)
Spostare il file di programma "normale ma infetto" in una posizione di quarantena è un primo passo per interrompere la diffusione dell'infezione. Lì, è meno probabile che venga eseguito continuamente durante le operazioni quotidiane.
Quarantena offre opzioni prima dell'eliminazione. Nel caso in cui la "pulizia" fallisse. Nel caso in cui tu abbia uno "strumento migliore" da qualche altra parte. O nel caso abbiate ancora bisogno di tutti quei file infetti. (per analisi, recupero dati)
Solo a volte gli antivirus possono considerare dannosi i tuoi file importanti e invece di eliminarli automaticamente li mette in quarantena dove non possono eseguire o accedere ai tuoi file e ti avvisano delle sue azioni.
docx
come dannosi tutti i file creati nella versione polacca di Word. Non uso ClamWin da solo, ma immagino che quelli che lo hanno fatto siano stati grati per la quarantena.