Почему антивирусное программное обеспечение не удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин?

124

Почему антивирусное программное обеспечение не полностью удаляет вирусы, вредоносные программы и т. Д., А вместо этого помещает их в карантин? Не лучше ли от них полностью избавиться? Почему? И как я могу удалить их вручную?

virus anti-virus malware virus-removal anti-malware Sardar_Usama
источник
123
Несколько недель назад ClamWin AV начал обнаруживать все docxфайлы, созданные в польской версии Word, как вредоносные. Я сам не пользуюсь ClamWin, но, думаю, те, кто это делает, были благодарны за карантин.
Гроностай
10
Это обсуждение породило связанный Sec.SE вопрос .
Бен Н
5
Почти каждая отдельная антивирусная программа, которую я использовал, позволяет вам выбирать, что происходит при обнаружении конкретной угрозы (игнорирует ли она, помещает в карантин или удаляет подозрительный файл ...).
Прорыв
8
Тем, кто просит закрыть этот вопрос как основанный на мнении : есть причины поместить файлы в карантин, которые не основаны на мнениях: ложное срабатывание, возможность восстановления файла в будущем, частичное восстановление зараженного файла, возможность изучения вируса. . выбор держать или не держать их могут быть в конечном счете , личными, даже если не совершенно произвольно: в самом деле , если файл представляет собой распределенную один (часть программы) можно скопировать / загрузить его из безопасного источника и заменить оригинал без необходимости хранить зараженную копию. Вместо этого нет шансов для тех, которые сделаны нами (здесь личные)
Hastur
6
Много лет назад пакет AV, имя которого я не буду называть ( кашель Symantec, кашель ), решил пометить сотни системных DLL-файлов как зараженные во время обычной ночной проверки. Естественно, карантин половины операционной системы не прошел хорошо, когда Windows была перезагружена. Машина была полностью заложена и не могла загрузиться даже в безопасном режиме. Поэтому мне пришлось вынуть HD-диск из машины, вставить его в другую машину в качестве второго диска и переместить библиотеки DLL туда, где они были. Это заняло целый день. Подумайте, что случилось бы, если бы эти файлы были удалены, а не помещены на карантин.
Кэри Грегори

Ответы:

135

Вирусы и вредоносные программы не опасны, если не выполнены.
Файл в карантине не может быть выполнен пользователем, и вредоносный код (вирус или вредоносная программа ) не имеет возможности действовать. Если вирус / вредоносная программа является удаляемой, она будет немедленно удалена.
Если нет, файл будет перемещен в карантин.

Для этого есть разные причины :

  • Ложно-положительный (как подчеркивают и другие ответы, см. Ниже в разделе « Дальнейшее объяснение» ).
  • Возможность восстановления файла в будущем (вирус добавляет свой код в исходный файл и куда-то перемещает / криптует / скрывает часть исходного кода. В настоящее время восстановить файл невозможно, но, возможно, в ближайшем будущем это произойдет).
    Действительно, если файл является уникальным (например, созданным владельцем компьютера), и он каким-то образом ценен , пользователь может найти способ восстановить все части, которые еще можно восстановить из него. Часть диссертации (или изображения) всегда лучше, чем ничего.

  • Возможность изучения вируса антивирусной компанией или выделения вируса на другой компьютер (представим, что у вас есть файл, атакованный вирусом. Его сигнатура md5sumменяется. У вас один и тот же файл на многих компьютерах. Можно предположить, что они атакованы. Если вы проверите свои резервные копии, вы можете найти первый раз, когда вирус действовал).
    Примечание: исторически «карантена» была периодом 40-дневной изоляции кораблей и людей перед входом в город, чтобы предотвратить распространение Черной смерти, чтобы увидеть, развивается ли вирус. На наших компьютерах карантин - это просто безопасное место для хранения неактивных подозрительных файлов, без наблюдения каких-либо действий вируса.

  • На карантин может попасть даже исполняемый файл, который изменился.
    Представьте, что у вас есть программа, которую вы перекомпилируете, или программа с открытым исходным кодом, которая обновляется не обычными способами Windows: антивирус может замечать действия (запись) в exe-cutable файле и помещать его в карантин.
    Более того, поскольку существуют некоторые файлы с активным содержимым (например, макрос Word или eXcel ...), некоторые антивирусы могут обнаруживать различия в исполняемых частях и интерпретировать их как результат действия вируса.

  • Если одна и та же версия файла атакована вирусом различными способами , можно (теоретически) восстановить файл путем скрещивания и анализа данных этих версий.

Дальнейшее объяснение
Подумайте, как вирус и антивирус, чтобы понять, почему существует карантин, почему могут быть ложные срабатывания и почему эта битва продолжается каждый день.

Вирус (или вредоносная программа ) - это скомпилированный код, который выполняет цель, для которой был запрограммирован.
Как скомпилированный код, он является двоичным (обычно), а не текстовым (как то, что вы читаете). Он должен распространяться сам и выполнять некоторую домашнюю работу (миссию, технически полезную нагрузку ), необязательно в одно и то же время (это увеличивает вероятность распространения инфекции до ее обнаружения).

Как вирус может распространиться и быть запущенным?

  • Просто он может перезаписать часть исходного кода ( exe, dll, com... файлы) и поместить свой код вместо.

    DOS вирус
    Пример древнего вируса DOS, который действует в таком режиме .
    Недостатком является то, что оригинальная программа может перестать работать, и вирус может быть обнаружен быстрее (например: "... привет, моя программа не работает ... происходят странные вещи ... вы можете помочь? - Да, сэр, у вас есть вирус " ).

  • Он может скопировать начальную часть файла, которая будет заражена в конце, после того, как он может поместить себя вместо первой части. Таким образом, когда вы запускаете программу, сначала запускается вирус, и только затем программа запускается ... Более разумный вариант - скопировать себя в конец файла и поместить переход в конец файла в начале файла ( и одно возвращение к его началу в конце) ... Недостатком является то, что антивирус может искать код вируса (когда-то известный) и легко его находить. Это произошло в Каскадном вирусе в 80-х-90-х годах ...

    Каскадный вирус

  • Он может состоять из частей, и он ( обратите внимание, не это ) может изменять свою форму и прятаться в разных частях программы, перемещать их, шифровать и шифровать. Каждый раз он может заразить новый файл другим способом. Поэтому антивирус может обнаружить только остатки отпечатков пальцев - с каждым днем ​​его все труднее идентифицировать.

Теперь, вы помните, что вирус (обычно) двоичный код? Ну и отпечатки пальцев тоже.
Поскольку они не являются полным вирусом, а всего лишь несколькими байтами, может случиться так, что часть сжатого файла, файла данных или изображения будет иметь те же байты, что и один из множества известных отпечатков вирусов - отсюда и ложное срабатывание.

Заключительное замечание: не все вирусы планировалось повредить, но большинство из них это делают де-факто .
С фактическим использованием компьютеров с банковскими счетами и счетами для оплаты это выглядит не так смешно, как на изображениях выше.

Hastur
источник
4
+1 об этом специально из-за будущей возможности восстановить файл - когда-то это был стандартный курс работы для антивирусного программного обеспечения!
пушистый
3
@MSalters. Нет, к сожалению, нет автокоррекции. Я говорил образно (или, по крайней мере, пытался): вирус распространяется из файла в другой (возможно, на другой компьютер ...). Затем он находится в файле (он находит дом). Затем он ждет ... затем он выполняет то, чему его учили (запрограммировано). Отсюда термин «домашнее задание» Вы можете прочитать его как «миссия» , это должно быть более понятным, но это больше похоже на то, что вы видите вирус как солдат. Кстати, спасибо за место, ответ обновлен.
Хастур
41
Мне любопытно о части "он (заметьте не это)". О чем это?
Альфа
3
В фразе «В карантине даже исполняемый файл может быть завершен», я не могу понять, что означает слово «готово». Вы можете уточнить это?
Таннер Светт
4
@ Альфа (и другие ...) Это личное, связано с тем, как я "чувствую" такие вирусы. Преобразователи выполняли основные задачи вслепую, без какого-либо проявления блеска. Но затем они начали изменять себя, прятаться и оставаться спящими , шифруя себя, каким-то образом эволюционируя ... - варианты, которые легко найти, не имели возможности выжить, сопротивляясь вашим попыткам убить их; смотри: я использовал «выжить» и «убить» , неявно я начинаю распознавать их как своего рода достоинство как выражение Разума, как будто они были живы… так что не больше, но он или она, если вы предпочитаете.
Хастур
89

Приложения защиты от вредоносного ПО предоставляют параметр карантина, который часто включен по умолчанию по двум причинам:

  1. Сохраните резервную копию предметов, определенных как угрожающие в случае ложного срабатывания. Хотя это не очень часто встречается, я встречал случаи ложных срабатываний на множестве разных легальных файлов приложений и драйверов.
  2. Наличие предмета в карантине может позволить его лучше исследовать. Тот факт, что он соответствует сигнатуре вредоносного ПО, не означает, что он просто похож, но может иметь и другие особенности.
Джули Пеллетье
источник
39
Кроме того, если вредоносная программа внедрилась в файл, который вы действительно хотите, например, в документ Word или аналогичный, тогда прямое удаление может быть худшим вариантом с точки зрения пользователей. Карантин, по крайней мере, дает вам возможность, хотя и рискованную, вернуть содержимое.
Мокубай
8
Кроме того, анти-вредоносное программное обеспечение может иметь другое понимание, чем вы в классификации. Известно, что некоторые антивирусные программы обнаруживают инструменты SysAdmin как вредоносные программы, и я обнаружил, что некоторые из них удаляют половину моей USB-флешки, не спрашивая, когда я подключаю ее к компьютерам определенных компаний и школ. netcat, wireshark и т. д. являются известными кандидатами. Я также видел людей, хранящих свою единственную копию своей магистерской диссертации на USB-карте. Я надеюсь, что антивирусный сканер не обнаружит ложное срабатывание и удалит его без запроса.
Х. Идден
13
Не очень часто? Я думаю, что почти все обнаружения моего антивируса были ложными срабатываниями.
Ориол
6
@JuliePelletier На соотношение ложных срабатываний сильно влияют действия пользователя. У меня никогда не было вирусов, вредоносных программ или чего-то подобного, потому что я очень осторожен. Это автоматически делает большинство (если не все) обнаружения ложными срабатываниями. Я все еще использую антивирус конечно :).
Mixxiphoid
3
@Mokubai Это интересная идея, что вирус может вызвать хаос, добавив сигнатуру viri в легитимные файлы - заставляя av делать грязную работу.
Эмори
72

По той же причине, по которой (большинство) правительства арестовывают подозреваемых преступников, а не расстреливают их на улице при малейшей провокации:

Вы хотите дать подозреваемому шанс защитить себя, если он на самом деле не совершил никакого преступления. И, даже если они совершили преступление, вы, вероятно, хотите узнать все об этом.

Гонки легкости на орбите
источник
38
По этой аналогии должен быть хотя бы какой-нибудь антивирус, который удаляет по умолчанию ...
PlasmaHH
5
@ ΈρικΚωνσταντόπουλος: какое нелепое утверждение . Windows 7 также "не существует"?
Гонки легкости на орбите
9
@ ΈρικΚωνσταντόπουλος: Люди будут использовать Windows 7 и 8 в течение длительного времени. В однолетнем программном обеспечении нет ничего «несуществующего». Не будь таким глупым!
Гонки легкости на орбите
14
@ ΈρικΚωνσταντόπουλος Windows 7 продлил поддержку до 2020 года, приятель; Windows 8 до 2023 года. Я изо всех сил пытаюсь определить вашу точку зрения. Что это такое?
Гонки легкости на орбите
20
@ ΈρικΚωνσταντόπουλος Да, в 2023 году. Какова ваша точка зрения?
Гонки легкости на орбите
1

Вирусы (например) не обязательно являются «автономным» двоичным файлом (.exe). Традиционно многие из них «присоединяются» к (многим) нормальным исполняемым файлам. (отсюда и выбор слова: «заразить»)

Поэтому «удаление» вредоносного файла - не единственный вариант. Многие AV предлагают возможность «очистить» зараженные файлы. (удалите часть вируса из обычных файлов программы. Оставьте обычную программу там, где она есть.)

«Распространение инфекции» тогда будет основываться не на «запуске вредоносного ПО» (видимый процесс .exe), а на запуске любой «нормальной программы» (Word, Excel). (или откройте нормальный документ с теми)

Перемещение «нормального, но зараженного» файла программы в место карантина - это первый шаг к прекращению распространения инфекции. Там, менее вероятно, будет выполняться непрерывно во время каждодневной операции.

Карантин дает вам варианты, до удаления. В случае, если «очистка» не удалась. Если у вас есть «лучший инструмент» где-то еще. Или, если вам все еще нужны все эти зараженные файлы. (для анализа, восстановления данных)

user18099
источник
0

Просто иногда антивирусы могут рассматривать ваши важные файлы как вредоносные, и вместо автоматического удаления они помещают их в карантин, где они не могут выполнить ваши файлы или получают к ним доступ, и уведомляют вас о своих действиях.

user615537
источник
Добро пожаловать в Супер пользователя! Этот ответ не добавляет ничего нового в ветку. Пожалуйста, прочитайте другие ответы, прежде чем публиковать что-то в качестве ответа.
rahuldottech