Por que o software antivírus não exclui completamente os vírus, malware, etc., mas os coloca em quarentena? Não é melhor se livrar completamente deles? Por quê? E como posso removê-los manualmente?
Por que o software antivírus não exclui completamente os vírus, malware, etc., mas os coloca em quarentena? Não é melhor se livrar completamente deles? Por quê? E como posso removê-los manualmente?
Respostas:
Vírus e malwares não são perigosos se não forem executados.
Um arquivo em quarentena não pode ser executado pelo usuário e o código malicioso (vírus ou malware ) não tem possibilidade de ação. Se o vírus / malware for removível, ele será removido imediatamente.
Caso contrário, o arquivo será movido para a quarentena.
Existem diferentes razões para isso:
Possibilidade de estudar o vírus pela empresa de antivírus ou para individuar outro computador com a infecção (vamos imaginar que você tenha um arquivo atacado por um vírus. Sua assinatura é md5sum
alterada. Você tem o mesmo arquivo em muitos computadores. Se a assinatura é a mesma, você Se você fizer o check-in dos seus backups, poderá encontrar a primeira vez que o vírus agiu.
Nota: historicamente, a "quarentena" foi um período de 40 dias de isolamento para navios e pessoas antes de entrar na cidade, a fim de impedir a difusão da Peste Negra, para ver se o vírus se desenvolve ou não. Em nossos computadores, a quarentena é apenas um local seguro para manter inativos os arquivos suspeitos, sem observar nenhuma ação do vírus.
Na quarentena pode acabar até um arquivo executável que é alterado.
Imagine que você possui um programa que recompila ou um programa de código aberto que não é atualizado por meios usuais do Windows: o antivírus pode observar atividades (gravação) em um exe
arquivo cortável e colocá-lo em quarentena.
Além disso, como existem alguns arquivos com conteúdo ativo (como, por exemplo, macro do Word ou eXcel ...), alguns antivírus podem detectar diferenças nas partes executáveis e interpretá-las como produzidas pela ação de um vírus.
Se você tiver a mesma versão de um arquivo atacada por um vírus de maneiras diferentes , pode ser (teoricamente) possível recuperar o arquivo cruzando e analisando os dados dessas versões.
Mais explicações
Pense como um vírus e um antivírus para entender por que a quarentena existe, por que pode haver falsos positivos e por que essa é uma batalha que continua todos os dias.
Um vírus (ou malware ) é um código compilado que executa o propósito para o que foi programado.
Como código compilado, é binário (geralmente) e não texto (como o que você está lendo). Ele precisa se propagar e executar alguns trabalhos de casa (uma missão, tecnicamente uma carga útil ), não necessariamente ao mesmo tempo (isso aumenta a possibilidade de espalhar a infecção antes que ela seja detectada).
Como um vírus pode se propagar e ser executado?
Simplesmente ele pode substituir uma parte do código original ( exe
, dll
, com
... arquivos) e colocar seu código em seu lugar.
Exemplo de um antigo vírus DOS que atua nesse modo .
A desvantagem é que o programa original pode parar de funcionar e o vírus pode ser detectado mais rapidamente (por exemplo: "... Olá, meu programa não está funcionando ... coisas estranhas estão acontecendo ... você pode ajudar? - Sim, senhor, você tem uma vírus " ).
Ele pode copiar a parte inicial do arquivo a ser infectado no final, depois de se colocar em vez da primeira parte. Portanto, quando você executa o programa, o vírus é executado primeiro e somente então o programa é executado ... Uma variante mais inteligente é copiar-se no final do arquivo e dar um salto no final no início do arquivo ( e uma volta ao início no final) ... A desvantagem é que um antivírus pode procurar o código do vírus (uma vez conhecido) e encontrá-lo facilmente. Isso aconteceu no vírus Cascade nos anos 80-90 ...
Pode ser feito de partes e ele ( note que não ) pode mudar sua forma e se esconder em diferentes partes do programa, movê-las, criptografar e embaralhar. Cada vez que ele pode infectar um novo arquivo de uma maneira diferente. Portanto, o antivírus pode encontrar apenas restos nas impressões digitais - a cada dia ele é mais difícil de identificar.
Agora, você se lembra que o vírus é (geralmente) código binário? Bem, as impressões digitais também são.
Como eles não são o vírus completo, mas apenas alguns bytes, pode acontecer que parte de um arquivo compactado, arquivo de dados ou imagem tenha os mesmos bytes de uma das muitas impressões digitais de vírus conhecidas - daí o falso positivo.
Nota conclusiva: nem todos os vírus foram planejados para danificar, mas a maioria deles o faz de fato .
Com o uso real de computadores com contas bancárias e contas a pagar, isso não parece mais tão engraçado quanto as imagens acima.
Os aplicativos antimalware fornecem uma opção de quarentena, que geralmente é ativada por padrão por dois motivos:
Pela mesma razão que (a maioria) governos prendem suspeitos de crimes em vez de matá-los nas ruas com a menor provocação:
Você quer dar ao suspeito a chance de se defender, caso ele realmente não cometa nenhum crime. E, mesmo que eles tenham cometido um crime, você provavelmente quer descobrir tudo sobre isso.
Os vírus (por exemplo) não são necessariamente um binário "independente" (.exe). Tradicionalmente, muitos deles "se conectam" a (muitos) executáveis normais. (daí a escolha da palavra: "infectar")
Portanto, a "exclusão" do arquivo de malware não é a única opção. Muitos antivírus oferecem a opção de "limpar" os arquivos infectados. (remova a parte do vírus dos arquivos de programas normais. deixe o programa normal onde está.)
A "disseminação da infecção" não se basearia na "execução do malware" (processo visível .exe) - mas na execução de qualquer "programa normal" (Word, Excel). (ou abra um documento normal com esses)
Mover o arquivo de programa "normal, mas infectado" para um local de quarentena, é o primeiro passo para parar de espalhar a infecção. Lá, é menos provável que seja executado continuamente durante a operação diária.
A quarentena fornece opções antes da exclusão. Caso a "limpeza" falhe. Caso você tenha uma "ferramenta melhor" em outro lugar. Ou caso você ainda precise de todos os arquivos infectados. (para análise, recuperação de dados)
Às vezes, os antivírus podem considerar seus arquivos importantes como maliciosos e, em vez de excluí-los automaticamente, os colocam em quarentena onde eles não podem executar ou acessar seus arquivos e notificá-lo sobre suas ações.
docx
arquivos criados na versão polonesa do Word como maliciosos. Eu não uso o ClamWin, mas acho que aqueles que o fizeram ficaram gratos por terem colocado em quarentena.