Question Pourquoi les logiciels antivirus ne suppriment-ils pas les virus, les logiciels malveillants, etc., mais les mettent en quarantaine?


Pourquoi les logiciels antivirus ne suppriment-ils pas complètement les virus, les logiciels malveillants, etc., mais les mettent en quarantaine? N'est-il pas préférable de les éliminer complètement? Pourquoi? Et comment puis-je les supprimer manuellement?


122
2017-07-03 07:22


origine


Il y a quelques semaines, ClamWin AV a commencé à détecter tout docx fichiers créés dans la version polonaise de Word comme étant malveillants. Je n'utilise pas ClamWin moi-même, mais je suppose que ceux qui le faisaient étaient reconnaissants d'avoir mis en quarantaine. - gronostaj
Cette discussion a engendré une question Sec.SE liée. - Ben N
Presque tous les programmes antivirus que j'ai utilisés vous permettent de choisir ce qui se passe lorsqu'une menace particulière est détectée (qu'elle ignore, met en quarantaine ou supprime le fichier suspecté). - Breakthrough
A ceux qui demandent de clore cette question comme opinion basée: il y a des raisons de mettre des fichiers en quarantaine qui ne sont pas basés sur des opinions: faux positif, possibilité future de récupérer le fichier, récupération partielle du fichier infecté, possibilité d'étudier le virus ... Le choix garder ou ne pas garder elles peuvent être éventuellement personnelles, même si elles ne sont pas complètement arbitraires: en effet, si un fichier est distribué (une partie du programme), il est possible de le copier / remplacer à partir d’une source sûre et de ne pas conserver la copie infectée. Pas de chance à la place de celles faites par nous (ici personnelles) - Hastur
Il y a de nombreuses années, un package AV dont je ne citerai pas le nom (la touxSymantecla toux) a décidé de marquer des centaines de DLL système comme étant infectées lors d'un scan de routine d'une nuit. Naturellement, la mise en quarantaine de la moitié du système d’exploitation n’a pas bien fonctionné au redémarrage de Windows. La machine était complètement maçonnée et ne pouvait pas être démarrée même en mode sans échec. J'ai donc dû retirer le disque dur de la machine, le placer dans une autre machine en tant que deuxième disque et déplacer les DLL à leur place. Cela a pris une journée entière pour accomplir. Considérez ce qui se serait passé si ces fichiers avaient été supprimés au lieu d'être mis en quarantaine. - Carey Gregory


Réponses:


Virus et malwares ne sont pas dangereux s'ils ne sont pas exécutés.
Un fichier en quarantaine ne peut pas être exécuté par l'utilisateur et le code malveillant (virus ou malware) n'a aucune possibilité d'agir. Si le virus / programme malveillant est amovible, il sera immédiatement supprimé.
Si ce n'est pas le cas, le fichier sera placé en quarantaine.

Ils sont différents les raisons pour ça:

  • Faux positif (comme souligné par d’autres réponses, voir ci-dessous dans Plus d'explications).
  • Possibilité future de récupérer le fichier (le virus ajoute son code dans le fichier d'origine et déplace / crypt / hide une partie du code d'origine quelque part. Actuellement, il n'est pas possible de récupérer le fichier mais peut-être dans un futur proche).
    En effet, si le fichier est unique (par exemple, créé par le propriétaire de l'ordinateur) et qu'il est en quelque sorte précieux, l’utilisateur peut trouver un moyen de récupérer toutes les pièces qu’il est encore possible de récupérer. Une partie d'une thèse (ou d'une image) vaut toujours mieux que rien.
  • Possibilité de étudier le virus par l'entreprise antivirus ou pour identifier d'autres ordinateurs avec l'infection (imaginons que vous avez un fichier attaqué par un virus. Sa signature, md5sum changements. Vous avez le même fichier sur plusieurs ordinateurs. Si la signature est la même, vous pouvez deviner qu’elle est attaquée. Si vous vérifiez vos sauvegardes, vous pouvez trouver la première fois que le virus a agi.
     Note: historiquement le "quarantena" était une période de 40 jours d'isolement pour les navires et les personnes avant d'entrer dans la ville afin d'empêcher la diffusion de la peste noire, pour voir si le virus se développe ou non. Sur nos ordinateurs, la quarantaine est juste un endroit sûr pour garder inactifs les fichiers suspects, sans observer aucune action du virus.  

  • Dans la quarantaine peut finir même un fichier exécutable modifié.
    Imaginez que vous avez un programme que vous recompilez ou un programme open source qui ne soit pas mis à jour par les méthodes Windows habituelles: l’antivirus peut détecter des activités (écriture) sur un ordinateur. exefichier à découper et le mettre en quarantaine.
    De plus il y a des fichiers avec contenu actif (comme, par exemple, la macro Word ou eXcel ...), certains antivirus peuvent repérer les différences dans les parties exécutables et interpréter celles qui sont produites par l'action d'un virus.

  • Si vous avez la même version de un fichier attaqué par un virus de différentes manières, il peut être (théoriquement) possible de récupérer le fichier en croisant et en analysant les données de ces versions.

Plus d'explications
Pensez à un virus et à un antivirus pour comprendre pourquoi la quarantaine existe, pourquoi il peut y avoir des faux positifs et pourquoi cette bataille se poursuit chaque jour.

Un virus (ou un virus) malware) est un code compilé qui exécute le but de ce qui a été programmé.
Comme code compilé, c'est binaire (généralement) et non du texte (comme ce que vous lisez). Il doit propager lui-même et pour en exécuter devoirs (une mission, techniquement une charge utile), pas nécessairement en même temps (cela augmente la possibilité de propagation de l'infection avant qu'elle ne soit détectée).

Comment un virus peut-il se propager et être exécuté?

  • Simplement, il peut remplacer une partie du code original (exe,dll,com... fichiers) et mettre son code à la place.

    DOS virus
    Exemple de ancien Virus DOS qui agit dans un tel mode.
    L’inconvénient est que le programme original peut cesser de fonctionner et que le virus peut être détecté plus rapidement (par exemple: "... bonjour mon programme ne marche pas ... des choses étranges se passent ... pouvez-vous aider? - Oui monsieur vous avez un virus").

  • Il peut copier la partie initiale de fichier à infecter à sa fin, après il peut se mettre à la place de la première partie. Ainsi, lorsque vous exécutez le programme, le virus est d’abord exécuté et alors seulement le programme est exécuté. Une variante plus intelligente consiste à se copier à la fin du fichier et à sauter à la fin du fichier ( et un retour à son début à sa fin)… L'inconvénient est qu'un antivirus peut rechercher le code du virus (une fois connu) et le retrouver facilement. Cela s'est passé dans le Virus en cascade dans les années 80-90 ... 

    Cascade virus

  • Il peut être fait de pièces et il (notez pas) peut changer son forme et se cacher dans les différentes parties du programme, les déplacer, les chiffrer et les brouiller. Chaque fois, il peut infecter un nouveau fichier d'une manière différente. Par conséquent, l'antivirus ne peut trouver que des traces dans les empreintes digitales - chaque jour, il est plus difficile à identifier.

Maintenant, vous rappelez-vous que le virus est (généralement) un code binaire? Eh bien, les empreintes digitales sont aussi.
Comme ils ne sont pas le virus complet mais seulement quelques octets, il peut arriver qu'une partie d'un fichier compressé, d'un fichier de données ou d'une image contienne les mêmes octets d'une des nombreuses empreintes de virus connues - d'où le faux positif.

Note concluante: tous les virus n'étaient pas prévus pour endommager, mais la plupart le font, de facto.
Avec l'utilisation réelle des ordinateurs avec des comptes bancaires et des factures à payer, cela ne semble pas plus drôle que les images ci-dessus.


135
2017-07-04 04:00



+1 en particulier à cause de possibilité future de récupérer le fichier - il était une fois un programme standard pour les logiciels antivirus! - fluffy
@Malters. Non, malheureusement pas de correction automatique. Je parlais au sens figuré (ou du moins j'essayais de le faire): un virus se propage d'un fichier à un autre (peut-être un autre ordinateur ...). Ensuite, il réside dans un fichier (il trouve à la maison). Ensuite, il attend ... puis il exécute ce pour quoi il a été enseigné (programmé pour). D'ici le terme "devoirs"  Vous pouvez le lire comme "mission", cela devrait être plus clair, mais c'est plus comme si vous voyiez un virus en tant que soldat. BTW merci pour le spot, répondre mis à jour. - Hastur
Je suis curieux de connaître la partie "il (notez-le)". De quoi s'agissait-il? - Alpha
Dans la phrase "En quarantaine, même un exécutable peut être terminé", je ne peux pas comprendre ce que signifie le mot "fini". Pouvez-vous clarifier cela? - Tanner Swett
@Alpha (et d'autres ...) C'est personnel, lié à la façon dont je "sens" ce genre de virus. Les formateurs ont exécuté des tâches de base, aveuglément, sans aucune sorte de brillance. Mais alors ils ont commencé à se modifier, à se cacher et à rester dormeur, se crypter, évoluant d’une manière ou d’une autre… - les variantes faciles à trouver n’ont aucune possibilité de survivre à vos tentatives de tuer leur; regarde: j'ai utilisé "survivre" et "tuer", implicitement, je commence à les reconnaître comme une forme d'expression de l'intelligence, comme si elles étaient vivantes ... alors pas plus que ça il,ou elle si tu préfères. - Hastur


Les applications anti-malware fournissent une option de quarantaine, qui est souvent activée par défaut pour deux raisons:

  1. Conservez une copie de sauvegarde des éléments identifiés comme menaçants en cas de faux positif. Bien que ce ne soit pas très courant, j'ai vu des cas de faux positifs sur de nombreux fichiers et pilotes d'application légitimes.
  2. Avoir l'article en quarantaine peut permettre de mieux l'investir. Le fait qu’elle corresponde à une signature de logiciel malveillant ne signifie pas qu’elle est simplement similaire, mais qu’elle peut avoir d’autres particularités.

89
2017-07-03 07:32



En outre, si le logiciel malveillant s’ajoute à un fichier que vous souhaitez, par exemple un document Word ou un fichier similaire, la suppression peut être la pire option du point de vue des utilisateurs. La quarantaine au moins vous donne une chance, même risquée, de récupérer le contenu. - Mokubai♦
De plus, le logiciel anti-malware peut avoir une compréhension différente de celle de la classification. Certains logiciels antivirus sont connus pour détecter les logiciels SysAdmin en tant que logiciels malveillants et certains d’entre eux ont supprimé la moitié de ma clé USB sans me demander quand je la connectais à des ordinateurs de certaines entreprises et écoles. netcat, wireshark, etc. sont des candidats connus. J'ai également vu des personnes stocker leur seule copie de leur mémoire sur une clé USB. J'espère que le scanner anti-malware ne le détectera pas comme faux positif et le supprimera sans le demander. - H. Idden
Pas très commun? Je pense que presque toutes les détections de mon antivirus étaient des faux positifs. - Oriol
@JuliePelletier Le ratio de faux positifs est fortement influencé par les actions de l'utilisateur. Je n'ai jamais de virus, de logiciel malveillant ou quelque chose du genre car je suis très prudent. Cela fait automatiquement que la plupart des détections (sinon toutes) sont des faux positifs. J'utilise toujours un anti-virus bien sûr :). - Mixxiphoid
@Mokubai C’est une idée intéressante qu’un virus pourrait causer des ravages en ajoutant une signature viri à des fichiers légitimes - ce qui rendrait le sale boulot. - emory


Pour la même raison que la plupart des gouvernements arrêtent des criminels présumés au lieu de les tirer dans la rue à la moindre provocation:

Vous voulez donner au suspect une chance de se défendre, au cas où ils ne commettraient aucun crime. Et même s'ils ont commis un crime, vous voulez probablement tout savoir à ce sujet.


72
2017-07-03 12:57



Par cette analogie, il devrait y avoir au moins un antivirus qui supprime par défaut ... - PlasmaHH
@ ΈρικΚωνσταντόπουλος: Quelle déclaration ridicule. Windows 7 n'existe-t-il pas également? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος: Les gens utiliseront Windows 7 et 8 pendant longtemps. Il n'y a rien de "inexistant" à propos d'un logiciel vieux d'un an. Ne sois pas si bête! - Lightness Races in Orbit
@ 7ρικΚωνσταντόπουλος Windows 7 a étendu le support jusqu'en 2020, mate; Windows 8 jusqu'en 2023. J'ai du mal à détecter votre point. Qu'Est-ce que c'est? - Lightness Races in Orbit
@ ΈρικΚωνσταντόπουλος Oui, en 2023. Quel est votre point? - Lightness Races in Orbit


Les virus (par exemple) ne sont pas nécessairement un fichier binaire "autonome" (.exe). Traditionnellement, beaucoup d'entre eux "s'attachent" à (beaucoup) d'exécutables normaux. (d'où le choix du mot: "infect")

Par conséquent, la "suppression" du fichier malveillant n'est pas la seule option. De nombreux AV offrent la possibilité de "nettoyer" les fichiers infectés. (Supprimez la partie de virus des fichiers de programme normalement normaux. Laissez le programme normal là où il se trouve.)

"La propagation de l'infection" ne serait alors pas basée sur "l'exécution du malware" (processus visible .exe) - mais basé sur l'exécution tout "programme normal" (Word, Excel). (ou ouvrez un document normal avec ceux)

Déplacer le fichier programme "normal mais infecté" vers un emplacement de quarantaine, est une première étape pour arrêter diffusion l'infection. Là, il est moins susceptible d'être exécuté en continu pendant les opérations quotidiennes.

La quarantaine vous donne des options avant la suppression. En cas de "nettoyage" échoué. Si vous avez un "meilleur outil" ailleurs. Ou au cas où vous auriez toujours besoin de tous ces fichiers infectés. (pour analyse, récupération de données)


1
2017-07-07 14:32





Parfois, les anti-virus peuvent considérer vos fichiers importants comme malveillants et au lieu de les supprimer automatiquement, ils les mettent en quarantaine lorsqu'ils ne peuvent ni exécuter ni accéder à vos fichiers et vous notifient ses actions.


0
2017-07-10 09:47



Bienvenue sur Super User! Cette réponse n’ajoute rien de nouveau au sujet. Veuillez lire les autres réponses avant de poster quelque chose en guise de réponse. - rahuldottech