Чому антивірусне програмне забезпечення не видаляє віруси, зловмисне програмне забезпечення тощо, а замість них карантинує?

124

Чому антивірусне програмне забезпечення не повністю видаляє віруси, зловмисне програмне забезпечення тощо, а замість них карантинує? Чи не краще повністю позбутися їх? Чому? І як я можу їх видалити вручну?

— Сардар_Усама
джерело

123

Кілька тижнів тому ClamWin AV почав виявляти всі docxфайли, створені у польській версії Word, як шкідливі. Я сам не використовую ClamWin, але, мабуть, ті, хто це робив, були вдячні за карантин.

— gronostaj

10

Це обговорення породило пов'язаний Sec.SE питання .

— Бен Н

5

Майже кожна антивірусна програма, яку я використав, дозволяє вибирати, що станеться при виявленні певної загрози (ігнорує, карантину чи видаляє підозрюваний файл ...).

— Прорив

8

Для тих, хто просить закрити це питання на основі думки : є причини розмістити файли в карантині, які не ґрунтуються на думці: помилковий позитив, майбутня можливість відновлення файлу, часткове відновлення зараженого файлу, можливість вивчення вірусу .. . вибір тримати або не тримати їх можуть бути в кінцевому рахунку , особистими, навіть якщо не зовсім довільно: у насправді , якщо файл являє собою розподілену один (частина програми) можна скопіювати / завантажити його з безпечного джерела і замінити оригінал без необхідності зберігати заражену копію. Натомість жодного шансу для тих, що зроблені нами (тут особисто)

— Hastur

6

Багато років тому AV-пакет, ім'я якого я не згадую ( кашель Symantec кашель ) вирішив позначити сотні системних DLL-файлів як заражених під час рутинного сканування протягом ночі. Природно, що під час перезавантаження Windows карантинну половину операційної системи не вдалося переробити. Машина була повністю замурована і не могла бути завантажена навіть у безпечному режимі. Тому мені довелося вийняти HD з машини, помістити його в іншу машину як другий привід і перемістити DLL-файли туди, куди вони належали. На це пішов цілий день. Поміркуйте, що було б, якби ці файли були видалені замість карантину.

— Carey Gregory

135

Віруси та шкідливі програми не небезпечні, якщо не виконуються.
Файл у карантині користувач не може виконувати, і шкідливий код (вірус чи зловмисне програмне забезпечення ) не має можливості діяти. Якщо вірус / зловмисне програмне забезпечення буде видалено, його буде негайно видалено.
Якщо ні, файл буде перенесено на карантин.

Для цього є різні причини :

Помилковий позитивний (на що також наголошували й інші відповіді, див. Нижче в подальшому поясненні ).
Майбутня можливість відновити файл (вірус додає свій код всередині оригінального файлу та перемістить / скріптить / приховає частину оригінального коду кудись. На даний момент неможливо відновити файл, але, можливо, найближчим часом це буде).
Дійсно, якщо файл унікальний (наприклад, той, який створив власник комп'ютера) і якийсь дорогоцінний , користувач може знайти спосіб відновити всі частини, які ще можливо відновити з нього. Частина тези (або зображення) завжди краще, ніж нічого.
Можливість вивчення вірусу антивірусною компанією або індивідуалізація іншого комп’ютера із зараженням (давайте уявимо, у вас файл, атакований вірусом. Його підпис, md5sumзміни. У вас один і той самий файл на багатьох комп’ютерах. Якщо підпис той самий, ви ви можете здогадатися, що вони атакуються. Якщо ви зареєструєтесь у ваших резервних копіях, ви зможете знайти перший раз, коли вірус діяв).
_{Зауважте: історично "карантена" була періодом 40-денної ізоляції для кораблів і людей перед в'їздом у місто, щоб запобігти розповсюдженню Чорної смерті, щоб побачити, розвивається чи ні вірус. На наших комп’ютерах карантин - це просто безпечне місце, коли слід тримати неактивні файли підозрюваних, не дотримуючись жодних дій вірусу.}
У карантині може бути навіть виконаний файл, який змінюється.
Уявіть, що у вас є програма, яку ви перекомпілюєте, або програма з відкритим кодом, яка оновлюється не звичайними способами Windows: антивірус може помічати дії (запис) у exeфайлі -cutable та помістити його в карантин.
Більше того, оскільки є деякі файли з активним вмістом (як, наприклад, Word або eXcel макрос ...), деякі антивіруси можуть помітити відмінності у виконуваних частинах та інтерпретувати файли, що викликані дією вірусу.
Якщо у вас однакова версія файлу, атакованого вірусом різними способами , можна (теоретично) відновити файл шляхом схрещування та аналізу даних цих версій.

Подальше пояснення
Подумайте як вірус і антивірус, щоб зрозуміти, чому існує карантин, чому можуть бути помилкові позитиви та чому це бій, який триває щодня.

Вірус (або зловмисне програмне забезпечення ) - це компільований код, який виконує мету, для чого було запрограмовано.
Як складений код, це двійковий (як правило), а не текст (як те, що ви читаєте). Він повинен розповсюджувати себе та виконувати деякі домашні завдання (місія, технічно корисна навантаження ), не обов'язково одночасно (це збільшує можливість поширення інфекції до її виявлення).

Як вірус може поширюватися і бути знищеним?

Просто він може перезаписати частину вихідного коду ( exe, dll, com... файли) і помістити свій код замість.

^{Приклад стародавнього вірусу DOS, який діє в такому режимі .}
Недоліком є те, що оригінальна програма може перестати працювати, і вірус може бути виявлений швидше (Наприклад: "... привіт, моя програма не працює ... дивні речі відбуваються ... чи можете ви допомогти? - Так, сер, у вас є вірус " ).
Він може скопіювати початкову частину файлу для зараження в кінці, після того, як він може поставити себе замість першої частини. Отже, коли ви виконуєте програму, вірус спочатку виконується, і лише потім програма виконується ... Більш розумним варіантом є скопіювати себе в кінці файлу та поставити стрибок до кінця на початку файлу ( і назад до його початку в кінці) ... Недолік - антивірус може шукати код вірусу (колись відомий) і легко знаходити його. Це сталося з вірусом Каскад у 80-х-90-х роках ...
Він може бути складений з частин, і він ( зауважте, що він не може) міняти свою форму і ховатися в різних частинах програми, переміщувати їх, шифрувати та кодувати. Кожного разу він може інфікувати новий файл по-іншому. Тому антивірус може знаходити залишки лише на відбитках пальців - щодня його ідентифікувати важче.

Тепер ви пам'ятаєте, що вірус - це, як правило, двійковий код? Ну, і відбитки пальців теж.
Оскільки вони є не повним вірусом, а лише кількома байтами, може статися, що частина стисненого файлу, файлу даних чи зображення має однакові байти одного з багатьох відомих відбитків вірусів - отже, помилковий позитив.

Заключна примітка: не всі віруси планували пошкодити, але більшість з них це роблять, фактично .
З фактичним використанням комп’ютерів з банківськими рахунками та рахунками для оплати, це вже не здається настільки смішним, як зображення вище.

— Гастур
джерело

4

+1 про це спеціально через майбутню можливість відновити файл - колись це був стандартний курс роботи антивірусного програмного забезпечення!

— пухнастий

3

@MSalters. Ні, на жаль немає автоматичної корекції. Я говорив образно (або, принаймні, намагався): вірус поширюється з файлу в інший (можливо, інший комп'ютер ...). Потім він знаходиться у файлі (він знаходить дім). Потім він чекає ... тоді він виконує те, чого вчив (запрограмований). Звідси термін "домашнє завдання" Ви можете читати його як "місію" , він повинен бути більш зрозумілим, але він більше схожий, якщо ви бачите вірус як солдат. До речі, спасибі за місце, відповідь оновлена.

— Гастур

41

Мені цікаво порція "він (зауважте не це"). Про що це було?

— Альфа

3

У фразі "У карантині навіть виконаний файл може бути закінчений", я не можу зрозуміти, що означає слово "готовий". Ви можете уточнити це?

— Tanner Swett

4

@Alpha (та інші ...) Це особисте, пов’язане з тим, як я "відчуваю" такий тип вірусів. Форматори виконували основні завдання сліпо, не проявляючи жодного блиску. Але потім вони почали видозмінюватися, ховатися і залишатися сплячими , шифруючи себе, якимось чином еволюціонуючи ... - варіанти, які легко знайти, не мали можливості вижити, протистоячи вашим спробам їх вбити ; Подивіться: я використав "вижити" і "вбити" , я неявно починаю визнавати їх якоюсь гідністю як виразом інтелекту, як ніби вони живі ... тож вже не це, а він , або вона, якщо ви віддаєте перевагу.

— Хастур

89

Програми проти зловмисного програмного забезпечення пропонують карантинний варіант, який за замовчуванням часто вмикається з двох причин:

Зберігайте резервну копію предметів, ідентифікованих як загрозливі у разі помилкового позитиву. Хоча це не дуже часто, я бачив випадки хибного позитиву у багатьох різних законних файлах програм та драйверах.
Наявність товару в карантині може дати можливість його краще дослідити. Той факт, що він відповідає підпису зловмисного програмного забезпечення, не означає, що він просто схожий, але насправді може мати інші особливості.

— Джулі Пелтьє
джерело

39

Крім того, якщо зловмисне програмне забезпечення вбудоване у файл, який ви насправді хочете, наприклад, документ Word або подібний, то відверте видалення з точки зору користувачів може бути найгіршим варіантом. Карантин принаймні дає вам можливість, хоч і ризикувати, повернути вміст.

— Мокубай

8

Крім того, програмне забезпечення проти зловмисного програмного забезпечення може мати інше розуміння, ніж ви в класифікації. Як відомо, деякі антивірусні програми виявляють засоби SysAdmin як шкідливі програми, і я виявив, що деякі з них видаляють половину USB-Stick, не запитуючи, коли я підключаю його до комп'ютерів певних компаній та шкіл. сітка, сітка та ін. - відомі кандидати. Я також бачив, як люди зберігають єдину копію магістерської роботи на USB-палиці. Я сподіваюся, що сканер проти зловмисного програмного забезпечення не визначить це як помилкове і видаляє його, не запитуючи.

— Х. Ідден

13

Не дуже часто? Я думаю, що майже всі виявлення мого антивірусу були помилковими.

— Оріол

6

@JuliePelletier На співвідношення помилкових позитивних значень сильно впливають дії користувача. У мене ніколи немає вірусу, зловмисного програмного забезпечення чи чогось подібного, тому що я дуже дбайливий. Це автоматично робить, що більшість (якщо не всі) виявлення є помилковими. Я все одно користуюся антивірусом звичайно :).

— Mixxiphoid

3

@Mokubai Цікава ідея, що вірус може спричинити хаос, додавши підпис viri до законних файлів - змушуючи ав робити брудну роботу.

— emory

72

З тієї ж причини, що (більшість) урядів арештовують підозрюваних злочинців замість того, щоб розстрілювати їх на вулиці при найменшій провокації:

Ви хочете дати шансу підозрюваному захиститися, якщо вони насправді взагалі не вчинили жодного злочину. І навіть якщо вони вчинили злочин, ви, мабуть, хочете дізнатися про нього все.

— Гонки легкості на орбіті
джерело

38

За цією аналогією має бути хоча б якийсь антивірус, який видаляється за замовчуванням ...

— PlasmaHH

5

@ ΈρικΚωνσταντόπουλος: Яке смішне твердження . Чи Windows 7 також "не існує"?

— Гонки легкості по орбіті

9

@ ΈρικΚωνσταντόπουλος: Люди довго користуватимуться Windows 7 та 8. Немає нічого «неіснуючого» про однорічну програму. Не будь таким дурним!

— Гонки легкості по орбіті

14

@ ΈρικΚωνσταντόπουλος Windows 7 має розширену підтримку до 2020 року, приятель; Windows 8 до 2023 року. Я намагаюся визначити вашу точку. Що це?

— Гонки легкості по орбіті

20

@ ΈρικΚωνσταντόπουλος Так, у 2023 році. Який твій погляд?

— Гонки легкості по орбіті

1

Віруси (наприклад) не обов'язково є "автономним" двійковим файлом (.exe). Традиційно багато з них «прив’язуються» до (багатьох) звичайних виконуваних файлів. (звідси вибір слова: "заразити")

Тому "видалення" зловмисного програмного забезпечення - не єдиний варіант. Багато АВ пропонують можливість "очистити" заражені файли. (видаліть вірусну частину з нормальних програмних файлів. Залиште звичайну програму там, де вона є.)

"Поширення інфекції" тоді не базуватиметься на "запущенні зловмисного програмного забезпечення" (видимий процес .exe) - а на основі запуску будь-якої "звичайної програми" (Word, Excel). (або відкрити звичайний документ із тими)

Переміщення «нормального, але зараженого» програмного файлу до місця карантину - це перший крок, щоб зупинити поширення інфекції. Там менше шансів на постійне виконання під час щоденної роботи.

Карантин надає варіанти перед видаленням. У випадку, якщо "прибирання" не вдалося. У випадку, якщо у вас є "кращий інструмент" десь в іншому місці. Або на випадок, якщо вам все-таки потрібні всі заражені файли. (для аналізу, відновлення даних)

— user18099
джерело

0

Іноді антивіруси можуть вважати ваші важливі файли шкідливими, а замість автоматичного видалення їх карантинують там, де вони не можуть виконати або отримати доступ до ваших файлів, і сповістять вас про його дії.

— user615537
джерело

Ласкаво просимо до Супер Користувача! Ця відповідь не додає нічого нового в нитку. Будь ласка, прочитайте інші відповіді, перш ніж публікувати щось як відповідь.

— rahuldottech