Por que o software antivírus não exclui os vírus, malware, etc., mas os coloca em quarentena?

124

Por que o software antivírus não exclui completamente os vírus, malware, etc., mas os coloca em quarentena? Não é melhor se livrar completamente deles? Por quê? E como posso removê-los manualmente?

Sardar_Usama
fonte
123
Algumas semanas atrás, o ClamWin AV começou a detectar todos os docxarquivos criados na versão polonesa do Word como maliciosos. Eu não uso o ClamWin, mas acho que aqueles que o fizeram ficaram gratos por terem colocado em quarentena.
gronostaj
10
Esta discussão gerou uma questão Sec.SE relacionado .
Ben N
5
Quase todos os programas antivírus que usei permitem escolher o que acontece quando uma ameaça específica é detectada (se ela ignora, coloca em quarentena ou exclui o arquivo suspeito ...).
Breakout
8
Para quem pede para encerrar esta questão com base em opinião : existem motivos para colocar em quarentena os arquivos que não são baseados em opinião: falso positivo, possibilidade futura de recuperar o arquivo, recuperação parcial do arquivo infectado, possibilidade de estudar o vírus. . a escolha de manter ou não manter -los pode ser, eventualmente, pessoal, mesmo se não completamente arbitrária: na verdade, se um arquivo é um distribuído um (a parte do programa) é possível copiar / transferi-lo a partir de uma fonte segura e substituir o original sem necessidade de manter a cópia infectada. Sem chance em vez das feitas por nós (aqui pessoal)
Hastur
6
Muitos anos atrás, um pacote de AV cujo nome não vou mencionar ( tosse Symantec tosse ) decidiu bandeira centenas de DLLs do sistema como infectados durante uma verificação durante a noite rotina. Naturalmente, a quarentena de metade do sistema operacional não passou bem quando o Windows foi reiniciado. A máquina era completamente emparedada e não podia ser inicializada nem no modo de segurança. Portanto, tive que remover o HD da máquina, colocá-lo em outra máquina como uma segunda unidade e mover as DLLs de volta para onde elas pertenciam. Demorou um dia inteiro para realizar. Considere o que teria acontecido se esses arquivos tivessem sido excluídos em vez de colocados em quarentena.
Carey Gregory

Respostas:

136

Vírus e malwares não são perigosos se não forem executados.
Um arquivo em quarentena não pode ser executado pelo usuário e o código malicioso (vírus ou malware ) não tem possibilidade de ação. Se o vírus / malware for removível, ele será removido imediatamente.
Caso contrário, o arquivo será movido para a quarentena.

Existem diferentes razões para isso:

  • Falso positivo (como enfatizado por outras respostas, veja abaixo em Mais explicações ).
  • Possibilidade futura de recuperar o arquivo (o vírus adiciona seu código ao arquivo original e move / criptografa / oculta parte do código original em algum lugar. No momento, não é possível recuperar o arquivo, mas talvez em um futuro próximo o seja).
    De fato, se o arquivo é único (por exemplo, um criado pelo proprietário do computador) e é de alguma forma precioso , o usuário pode encontrar uma maneira de recuperar todas as partes que ainda são possíveis de serem recuperadas. Uma parte de uma tese (ou de uma imagem) é sempre melhor que nada.
  • Possibilidade de estudar o vírus pela empresa de antivírus ou para individuar outro computador com a infecção (vamos imaginar que você tenha um arquivo atacado por um vírus. Sua assinatura é md5sumalterada. Você tem o mesmo arquivo em muitos computadores. Se a assinatura é a mesma, você Se você fizer o check-in dos seus backups, poderá encontrar a primeira vez que o vírus agiu.
    Nota: historicamente, a "quarentena" foi um período de 40 dias de isolamento para navios e pessoas antes de entrar na cidade, a fim de impedir a difusão da Peste Negra, para ver se o vírus se desenvolve ou não. Em nossos computadores, a quarentena é apenas um local seguro para manter inativos os arquivos suspeitos, sem observar nenhuma ação do vírus.

  • Na quarentena pode acabar até um arquivo executável que é alterado.
    Imagine que você possui um programa que recompila ou um programa de código aberto que não é atualizado por meios usuais do Windows: o antivírus pode observar atividades (gravação) em um exearquivo cortável e colocá-lo em quarentena.
    Além disso, como existem alguns arquivos com conteúdo ativo (como, por exemplo, macro do Word ou eXcel ...), alguns antivírus podem detectar diferenças nas partes executáveis ​​e interpretá-las como produzidas pela ação de um vírus.

  • Se você tiver a mesma versão de um arquivo atacada por um vírus de maneiras diferentes , pode ser (teoricamente) possível recuperar o arquivo cruzando e analisando os dados dessas versões.

Mais explicações
Pense como um vírus e um antivírus para entender por que a quarentena existe, por que pode haver falsos positivos e por que essa é uma batalha que continua todos os dias.

Um vírus (ou malware ) é um código compilado que executa o propósito para o que foi programado.
Como código compilado, é binário (geralmente) e não texto (como o que você está lendo). Ele precisa se propagar e executar alguns trabalhos de casa (uma missão, tecnicamente uma carga útil ), não necessariamente ao mesmo tempo (isso aumenta a possibilidade de espalhar a infecção antes que ela seja detectada).

Como um vírus pode se propagar e ser executado?

  • Simplesmente ele pode substituir uma parte do código original ( exe, dll, com... arquivos) e colocar seu código em seu lugar.

    Vírus DOS
    Exemplo de um antigo vírus DOS que atua nesse modo .
    A desvantagem é que o programa original pode parar de funcionar e o vírus pode ser detectado mais rapidamente (por exemplo: "... Olá, meu programa não está funcionando ... coisas estranhas estão acontecendo ... você pode ajudar? - Sim, senhor, você tem uma vírus " ).

  • Ele pode copiar a parte inicial do arquivo a ser infectado no final, depois de se colocar em vez da primeira parte. Portanto, quando você executa o programa, o vírus é executado primeiro e somente então o programa é executado ... Uma variante mais inteligente é copiar-se no final do arquivo e dar um salto no final no início do arquivo ( e uma volta ao início no final) ... A desvantagem é que um antivírus pode procurar o código do vírus (uma vez conhecido) e encontrá-lo facilmente. Isso aconteceu no vírus Cascade nos anos 80-90 ...

    Vírus em cascata

  • Pode ser feito de partes e ele ( note que não ) pode mudar sua forma e se esconder em diferentes partes do programa, movê-las, criptografar e embaralhar. Cada vez que ele pode infectar um novo arquivo de uma maneira diferente. Portanto, o antivírus pode encontrar apenas restos nas impressões digitais - a cada dia ele é mais difícil de identificar.

Agora, você se lembra que o vírus é (geralmente) código binário? Bem, as impressões digitais também são.
Como eles não são o vírus completo, mas apenas alguns bytes, pode acontecer que parte de um arquivo compactado, arquivo de dados ou imagem tenha os mesmos bytes de uma das muitas impressões digitais de vírus conhecidas - daí o falso positivo.

Nota conclusiva: nem todos os vírus foram planejados para danificar, mas a maioria deles o faz de fato .
Com o uso real de computadores com contas bancárias e contas a pagar, isso não parece mais tão engraçado quanto as imagens acima.

Hastur
fonte
4
+1 sobre isso especificamente por causa da possibilidade futura de recuperar o arquivo - era uma vez um curso padrão de operação para software antivírus!
fofo
3
@MSalters. Não, infelizmente não há correção automática. Eu estava falando figurativamente (ou pelo menos estava tentando): um vírus se propaga de um arquivo para outro (talvez outro computador ...). Em seguida, ele reside em um arquivo (encontra o local). Então espera ... então executa o que foi ensinado (programado). A partir daqui, o termo "lição de casa" Você pode lê-lo como "missão" , deve ficar mais claro, mas é mais parecido se você vê um vírus como soldado. Entre obrigado pelo local, resposta atualizada.
Hastur
41
Estou curioso sobre a parte "ele (note que não)". O que foi aquilo?
Alpha
3
Na frase "Na quarentena, mesmo um executável pode ser concluído", não consigo descobrir o que a palavra "concluído" significa. Você pode esclarecer isso?
55570 Tanner Swett #
4
@Alpha (e outros ...) É pessoal, relacionado à maneira como "sinto" esse tipo de vírus. Os formadores executavam tarefas básicas, às cegas, sem nenhum tipo de brilho. Mas então eles começaram a se modificar, a se esconder e a dormir , se criptografando, de alguma forma evoluindo ... - as variantes fáceis de serem encontradas não tinham possibilidades de sobreviver resistindo às suas tentativas de matá- las; olha: eu usei "sobreviver" e "matar" , implicitamente começo a reconhecê-los algum tipo de dignidade como expressão da Inteligência, como se estivessem vivos ... então não mais isso, mas ele ou ela, se preferir.
Hastur
89

Os aplicativos antimalware fornecem uma opção de quarentena, que geralmente é ativada por padrão por dois motivos:

  1. Mantenha um backup dos itens identificados como ameaçadores no caso de um falso positivo. Embora não seja muito comum, vi casos de falso positivo em muitos arquivos e drivers de aplicativos legítimos diferentes.
  2. Ter o item em quarentena pode permitir uma melhor investigação. O fato de corresponder a uma assinatura de malware não significa que é apenas semelhante, mas pode realmente ter outras particularidades.
Julie Pelletier
fonte
39
Além disso, se o malware se incorporar a um arquivo que você realmente deseja, como um documento do Word ou similar, a exclusão definitiva pode ser a pior opção da perspectiva dos usuários. A quarentena, pelo menos, lhe dá a chance, ainda que arriscada, de recuperar o conteúdo.
Mokubai
8
Além disso, o software anti-malware pode ter um entendimento diferente do que você na classificação. Sabe-se que alguns softwares antivírus detectam as ferramentas do SysAdmin como malware e eu encontrei algumas delas excluindo metade do meu USB-Stick sem perguntar quando eu o conecto a computadores de determinadas empresas e escolas. netcat, wireshark etc. são canditatos conhecidos. Também vi pessoas armazenando sua única cópia de sua tese de mestrado em um pendrive. Espero que o scanner anti-malware não o detecte como falso positivo e o exclua sem perguntar.
21760 H. Idden
13
Não é muito comum? Eu acho que quase todas as detecções que meu antivírus teve foram falsos positivos.
Oriol
6
@JuliePelletier A proporção de falsos positivos é fortemente influenciada pelas ações do usuário. Eu nunca tenho vírus, malware ou algo assim porque sou muito cuidadoso. Isso faz automaticamente que a maioria (se não todas) as detecções sejam falsos positivos. Eu ainda uso um antivírus, é claro :).
Mixxiphoid
3
@Mokubai É uma ideia interessante que um vírus possa causar estragos ao adicionar assinatura viri a arquivos legítimos - fazendo com que o av faça o trabalho sujo.
Emory
72

Pela mesma razão que (a maioria) governos prendem suspeitos de crimes em vez de matá-los nas ruas com a menor provocação:

Você quer dar ao suspeito a chance de se defender, caso ele realmente não cometa nenhum crime. E, mesmo que eles tenham cometido um crime, você provavelmente quer descobrir tudo sobre isso.

Raças de leveza em órbita
fonte
38
Por essa analogia, deve haver pelo menos alguns antivírus que exclui por padrão ...
PlasmaHH
5
@ ΈρικΚωνσταντόπουλος: Que afirmação ridícula . O Windows 7 também "não existe"?
Lightness Races in Orbit
9
@ ΈρικΚωνσταντόπουλος: As pessoas estarão usando o Windows 7 e 8 por um longo tempo. Não há nada "inexistente" em um software com um ano de idade. Não seja tão bobo!
Lightness Races in Orbit
14
@ WindowsρικΚωνσταντόπουλος O Windows 7 estendeu o suporte até 2020, companheiro; Windows 8 até 2023. Estou lutando para detectar o seu ponto. O que é isso?
Lightness Races in Orbit
20
@ ΈρικΚωνσταντόπουλος Sim, em 2023. Qual é o seu ponto?
Lightness Races in Orbit
1

Os vírus (por exemplo) não são necessariamente um binário "independente" (.exe). Tradicionalmente, muitos deles "se conectam" a (muitos) executáveis ​​normais. (daí a escolha da palavra: "infectar")

Portanto, a "exclusão" do arquivo de malware não é a única opção. Muitos antivírus oferecem a opção de "limpar" os arquivos infectados. (remova a parte do vírus dos arquivos de programas normais. deixe o programa normal onde está.)

A "disseminação da infecção" não se basearia na "execução do malware" (processo visível .exe) - mas na execução de qualquer "programa normal" (Word, Excel). (ou abra um documento normal com esses)

Mover o arquivo de programa "normal, mas infectado" para um local de quarentena, é o primeiro passo para parar de espalhar a infecção. Lá, é menos provável que seja executado continuamente durante a operação diária.

A quarentena fornece opções antes da exclusão. Caso a "limpeza" falhe. Caso você tenha uma "ferramenta melhor" em outro lugar. Ou caso você ainda precise de todos os arquivos infectados. (para análise, recuperação de dados)

user18099
fonte
0

Às vezes, os antivírus podem considerar seus arquivos importantes como maliciosos e, em vez de excluí-los automaticamente, os colocam em quarentena onde eles não podem executar ou acessar seus arquivos e notificá-lo sobre suas ações.

user615537
fonte
Bem-vindo ao Super Usuário! Esta resposta não adiciona nada de novo ao segmento. Leia as outras respostas antes de postar algo como resposta.
Rahuldottech