Warum löscht die Antivirensoftware Viren, Malware usw. nicht, sondern isoliert sie in der Quarantäne?

124

Warum löscht Antivirensoftware Viren, Malware usw. nicht vollständig, sondern isoliert sie stattdessen? Ist es nicht besser, sie komplett loszuwerden? Warum? Und wie kann ich sie manuell entfernen?

Sardar_Usama
quelle
123
Vor einigen Wochen hat ClamWin AV damit begonnen, alle docxin der polnischen Version von Word erstellten Dateien als bösartig zu erkennen. Ich benutze ClamWin selbst nicht, aber ich schätze, diejenigen, die es tun, waren dankbar für die Quarantäne.
Gronostaj
10
Diese Diskussion brachte eine verwandte Sec.SE-Frage hervor .
Ben N
5
In fast jedem einzelnen von mir verwendeten Antivirenprogramm können Sie auswählen, was passiert, wenn eine bestimmte Bedrohung erkannt wird (ob die verdächtige Datei ignoriert, unter Quarantäne gestellt oder gelöscht wird ...).
Durchbruch
8
Für diejenigen, die diese Frage als meinungsbasiert schließen möchten : Es gibt Gründe, Dateien in die Quarantäne zu stellen, die nicht meinungsbasiert sind: falsch positiv, zukünftige Möglichkeit, die Datei wiederherzustellen, teilweise Wiederherstellung der infizierten Datei, Möglichkeit, den Virus zu untersuchen. . die Wahl zu halten zu halten oder nicht sie schließlich persönlich sein können, wenn auch nicht völlig willkürlich: in der Tat , wenn eine Datei ein verteiltes ein (ein Programmteil) ist , ist es möglich , sie aus sicherer Quelle zu kopieren / Download und das Original ersetzen Die infizierte Kopie muss nicht aufbewahrt werden. Keine Chance stattdessen für die von uns gemachten (hier persönlich)
Hastur
6
Vor vielen Jahren entschied sich ein AV-Paket, dessen Namen ich nicht erwähne ( Husten Symantec Husten ), Hunderte von System-DLLs während eines Routine-Nachtscans als infiziert zu markieren. Natürlich lief die Quarantäne für die Hälfte des Betriebssystems beim Neustart von Windows nicht gut. Die Maschine war komplett zugemauert und konnte auch im abgesicherten Modus nicht gebootet werden. Also musste ich die Festplatte aus dem Computer entfernen, sie als zweites Laufwerk in einen anderen Computer einlegen und die DLLs dorthin zurückbringen, wo sie hingehörten. Dies dauerte einen ganzen Tag. Überlegen Sie, was passiert wäre, wenn diese Dateien gelöscht und nicht unter Quarantäne gestellt worden wären.
Carey Gregory

Antworten:

135

Viren und Malware sind nicht gefährlich, wenn sie nicht ausgeführt werden.
Eine Datei in Quarantäne kann vom Benutzer nicht ausgeführt werden und der Schadcode (Virus oder Malware ) hat keine Handlungsmöglichkeit. Wenn der Virus / die Malware entfernbar ist, wird sie sofort entfernt.
Andernfalls wird die Datei in die Quarantäne verschoben.

Dafür gibt es verschiedene Gründe :

  • Falsch positiv (wie auch durch andere Antworten unterstrichen, siehe unten unter Weitere Erläuterungen ).
  • Zukünftige Möglichkeit, die Datei wiederherzustellen (der Virus fügt seinen Code in die Originaldatei ein und verschiebt / verschlüsselt / versteckt einen Teil des Originalcodes an eine andere Stelle. Derzeit ist es nicht möglich, die Datei wiederherzustellen, aber in naher Zukunft wird es möglich sein).
    In der Tat, wenn die Datei eindeutig ist (z. B. eine vom Besitzer des Computers erstellte) und auf irgendeine Weise wertvoll ist , findet der Benutzer möglicherweise eine Möglichkeit, alle Teile wiederherzustellen, die noch wiederhergestellt werden können. Ein Teil einer Arbeit (oder eines Bildes) ist immer besser als nichts.
  • Möglichkeit, den Virus durch das Antiviren-Unternehmen zu untersuchen oder einen anderen Computer mit der Infektion zu identifizieren (stellen Sie sich vor, Sie haben eine Datei, die von einem Virus befallen wurde. Die Signatur md5sumändert sich. Sie haben dieselbe Datei auf vielen Computern. Wenn die Signatur mit Ihnen identisch ist Wenn Sie Ihre Backups einchecken, können Sie feststellen, wann der Virus zum ersten Mal aufgetreten ist.
    Hinweis: Historisch gesehen war die "Quarantäne" eine Zeitspanne von 40 Tagen, in der Schiffe und Menschen vor dem Betreten der Stadt isoliert waren, um die Ausbreitung des Schwarzen Todes zu verhindern und zu prüfen, ob sich das Virus entwickelt oder nicht. Auf unseren Computern ist die Quarantäne nur ein sicherer Ort, um die verdächtigen Dateien inaktiv zu halten, ohne irgendwelche Aktionen des Virus zu beobachten.

  • In der Quarantäne kann sich sogar eine ausführbare Datei befinden, die geändert wird.
    Stellen Sie sich vor, Sie haben ein Programm, das Sie neu kompilieren, oder ein Open-Source-Programm, das nicht über die üblichen Windows-Methoden aktualisiert wird: Das Virenschutzprogramm kann Aktivitäten (Schreiben) auf einer exeschneidbaren Datei feststellen und diese in die Quarantäne verschieben.
    Da es außerdem einige Dateien mit aktivem Inhalt gibt (wie z. B. Word oder eXcel-Makro ...), kann ein Virenschutzprogramm Unterschiede in den ausführbaren Teilen erkennen und solche interpretieren, die durch die Wirkung eines Virus verursacht wurden.

  • Wenn Sie dieselbe Version einer Datei haben, die auf unterschiedliche Weise von einem Virus angegriffen wurde , kann es (theoretisch) möglich sein, die Datei wiederherzustellen, indem Daten dieser Versionen gekreuzt und analysiert werden.

Weitere Erklärung
Denken Sie wie ein Virus und ein Antivirus, um zu verstehen, warum die Quarantäne existiert, warum es zu Fehlalarmen kommen kann und warum dies ein Kampf ist, der sich jeden Tag fortsetzt.

Ein Virus (oder eine Malware ) ist ein kompilierter Code, der den Zweck für das ausführt, wofür programmiert wurde.
Als kompilierter Code handelt es sich (normalerweise) um Binärcode und nicht um Text (wie Sie ihn lesen). Es muss sich vermehren und einige Hausaufgaben erledigen (eine Mission, technisch gesehen eine Nutzlast ), nicht unbedingt zur gleichen Zeit (dies erhöht die Möglichkeit, die Infektion zu verbreiten, bevor sie entdeckt wird).

Wie kann sich ein Virus verbreiten und ausgeführt werden?

  • Kann es einfach einen Teil des ursprünglichen Codes (überschreiben exe, dll, comstattdessen ... Dateien) und legt ihren Code.

    DOS-Virus
    Beispiel eines alten DOS-Virus, der in einem solchen Modus agiert .
    Der Nachteil ist, dass das ursprüngliche Programm möglicherweise nicht mehr funktioniert und der Virus möglicherweise schneller erkannt wird (Beispiel: "... hallo, mein Programm funktioniert nicht ... seltsame Dinge passieren ... können Sie helfen? Virus " ).

  • Es kann den anfänglichen Teil der zu infizierenden Datei an seinem Ende kopieren , nachdem es sich selbst anstelle des ersten Teils setzen kann. Wenn Sie das Programm ausführen, wird der Virus zuerst ausgeführt und erst dann das Programm. Eine intelligentere Variante besteht darin, sich selbst am Ende der Datei zu kopieren und an den Anfang der Datei zu springen ( und eins zurück zu seinem Anfang an seinem Ende) ... Der Nachteil ist, dass ein Antivirus nach dem Code des Virus (sobald er bekannt ist) suchen und ihn leicht finden kann. Dies geschah im Cascade-Virus in den 80er-90er Jahren ...

    Kaskadenvirus

  • Es kann aus Teilen bestehen und er ( beachte es nicht ) kann seine Form ändern und sich in verschiedenen Teilen des Programms verstecken, sie verschieben, verschlüsseln und verschlüsseln. Jedes Mal kann er eine neue Datei auf eine andere Weise infizieren. Daher kann das Antivirus-Programm möglicherweise nur Reste in Fingerabdrücken finden - jeden Tag ist es schwieriger, ihn zu identifizieren.

Weißt du noch, dass es sich bei dem Virus (normalerweise) um Binärcode handelt? Nun, die Fingerabdrücke sind auch.
Da es sich nicht um den vollständigen Virus handelt, sondern nur um wenige Bytes, kann es vorkommen, dass ein Teil einer komprimierten Datei, Datendatei oder eines Bildes die gleichen Bytes wie einer der vielen bekannten Virenfingerabdrücke aufweist - daher das falsche Positiv.

Schlussbemerkung: Nicht alle Viren sollten Schaden anrichten, aber die meisten von ihnen tun dies de facto .
Bei der tatsächlichen Verwendung von Computern mit Bankkonten und zu bezahlenden Rechnungen scheint es nicht mehr so ​​lustig zu sein wie auf den Bildern oben.

Hastur
quelle
4
+1 dazu speziell wegen der zukünftigen Möglichkeit, die Datei wiederherzustellen - dies war einst ein Standardablauf für Antivirensoftware!
flauschiger
3
@MSalters. Nein, leider keine Autokorrektur. Ich habe im übertragenen Sinne gesprochen (oder zumindest versucht): Ein Virus überträgt sich von einer Datei auf eine andere (vielleicht auf einen anderen Computer ...). Dann befindet es sich in einer Datei (es findet nach Hause). Dann wartet es ... dann führt es das aus, wofür es gelernt (programmiert) wurde. Von hier aus kann der Begriff "Hausaufgabe" als "Mission" gelesen werden , es sollte klarer werden, aber es ist eher so, als ob man einen Virus als Soldat sieht. Übrigens danke für den Spot, antworte aktualisiert.
Hastur
41
Ich bin gespannt auf den Teil "er (beachte es nicht)". Worum ging es?
Alpha
3
In der Phrase "In der Quarantäne kann sogar eine ausführbare Datei beendet werden" kann ich nicht herausfinden, was das Wort "beendet" bedeutet. Können Sie das klären?
Tanner Swett
4
@Alpha (und andere ...) Es ist persönlich und hängt damit zusammen, wie ich diese Art von Viren " wahrnehme " . Die Bildner erledigten blinde Grundaufgaben, ohne irgendeine Art von Brillanz zu zeigen. Aber dann begannen sie , sich zu verändern, zu verstecken und bleiben Schläfer , selbst zu verschlüsseln, irgendwie weiterentwickelt ... --die Varianten leicht gefunden wird keine Möglichkeiten mußten Ihre Versuche zu überleben wieder zu töten sie; schau: ich habe "überleben" und "töten" benutzt , implizit beginne ich, ihnen eine Art Würde als Ausdruck der Intelligenz anzuerkennen, als ob sie am Leben wären ... also nicht mehr, sondern er oder sie, wenn Sie es vorziehen.
Hastur,
89

Anti-Malware-Anwendungen bieten eine Quarantäneoption, die häufig aus zwei Gründen standardmäßig aktiviert ist:

  1. Bewahren Sie eine Sicherungskopie der Gegenstände auf, die im Falle eines falschen Positivs als bedrohlich eingestuft wurden. Obwohl es nicht sehr häufig vorkommt, habe ich bei vielen verschiedenen legitimen Anwendungsdateien und Treibern Fälle von False Positive gesehen.
  2. Wenn das Objekt in Quarantäne ist, kann es möglicherweise besser untersucht werden. Die Tatsache, dass es mit einer Malware-Signatur übereinstimmt, bedeutet nicht, dass es nur ähnlich ist, sondern möglicherweise auch andere Besonderheiten aufweist.
Julie Pelletier
quelle
39
Wenn sich die Malware in eine Datei eingebettet hat, die Sie tatsächlich möchten, z. B. ein Word-Dokument oder ähnliches, ist das vollständige Löschen aus Benutzersicht möglicherweise die schlechteste Option. Mit der Quarantäne haben Sie zumindest die Möglichkeit, den Inhalt zurückzugewinnen, auch wenn dies riskant ist.
Mokubai
8
Außerdem hat die Anti-Malware-Software möglicherweise ein anderes Verständnis als Sie in der Klassifizierung. Einige Antiviren-Programme erkennen SysAdmin-Tools als Malware, und einige löschen meinen halben USB-Stick, ohne mich zu fragen, wann ich ihn an Computer bestimmter Unternehmen und Schulen anschließe. netcat, wireshark usw. sind bekannte Kandidaten. Ich habe auch Leute gesehen, die ihre einzige Kopie ihrer Masterarbeit auf einem USB-Stick gespeichert haben. Ich hoffe, der Anti-Malware-Scanner erkennt es nicht als falsch positiv und löscht es ohne Aufforderung.
H. Idden
13
Nicht sehr häufig? Ich denke, dass fast alle Erkennungen, die mein Antivirus hatte, falsch positiv waren.
Oriol
6
@JuliePelletier Das Verhältnis der falsch positiven Ergebnisse wird stark von den Aktionen des Benutzers beeinflusst. Ich habe nie Viren, Malware oder ähnliches, weil ich sehr vorsichtig bin. Dies führt automatisch dazu, dass die meisten (wenn nicht alle) Erkennungen falsch positiv sind. Ich benutze natürlich immer noch ein Antivirus :).
Mixxiphoid
3
@Mokubai Es ist eine interessante Idee, dass ein Virus Chaos anrichten könnte, indem er legitimen Dateien eine Virensignatur hinzufügt - damit der AV die Drecksarbeit macht.
Emory
72

Aus dem gleichen Grund, dass (die meisten) Regierungen mutmaßliche Kriminelle verhaften, anstatt sie bei der geringsten Provokation auf der Straße zu erschießen:

Sie möchten dem Verdächtigen die Möglichkeit geben, sich zu verteidigen, falls er überhaupt kein Verbrechen begangen hat. Und selbst wenn sie ein Verbrechen begangen haben, möchten Sie wahrscheinlich alles darüber herausfinden.

Leichtigkeitsrennen im Orbit
quelle
38
Nach dieser Analogie sollte es mindestens einige Antivirenprogramme geben, die standardmäßig gelöscht werden ...
PlasmaHH
5
@ ΈρικΚωνσταντόπουλος: Was für eine lächerliche Aussage . Gibt es Windows 7 auch "nicht"?
Leichtigkeitsrennen im Orbit
9
@ ΈρικΚωνσταντόπουλος: Die Leute werden lange Zeit Windows 7 und 8 verwenden. An einer einjährigen Software ist nichts "Nichtexistentes". Sei nicht so albern!
Leichtigkeitsrennen im Orbit
14
@ ΈρικΚωνσταντόπουλος Windows 7 hat die Unterstützung bis 2020 erweitert, Kumpel; Windows 8 bis 2023. Ich habe Mühe, Ihren Punkt zu erkennen. Was ist es?
Leichtigkeitsrennen im Orbit
20
@ ΈρικΚωνσταντόπουλος Ja, im Jahr 2023. Was ist Ihr Punkt?
Leichtigkeitsrennen im Orbit
1

Viren (zum Beispiel) sind nicht unbedingt eine "eigenständige" Binärdatei (.exe). Traditionell "hängen" sich viele von ihnen an (viele) normale ausführbare Dateien. (daher die Wahl des Wortes: "infizieren")

Daher ist "Löschen" der Malware-Datei nicht die einzige Option. Viele AVs bieten die Möglichkeit, die infizierten Dateien zu "bereinigen". (Entfernen Sie den Virenteil aus ansonsten normalen Programmdateien. Lassen Sie das normale Programm dort, wo es ist.)

"Ausbreitung der Infektion" würde dann nicht auf "Ausführen der Malware" (sichtbarer Prozess .exe) beruhen - sondern auf dem Ausführen eines "normalen Programms" (Word, Excel). (oder öffnen Sie ein normales Dokument mit diesen)

Das Verschieben der "normalen, aber infizierten" Programmdatei in eine Quarantäne ist ein erster Schritt, um die Ausbreitung der Infektion zu stoppen . Dort ist es weniger wahrscheinlich, dass es während des täglichen Betriebs kontinuierlich ausgeführt wird.

In der Quarantäne stehen Ihnen Optionen vor dem Löschen zur Verfügung. Im Falle der "Reinigung" fehlgeschlagen. Falls Sie woanders ein "besseres Werkzeug" haben. Oder falls Sie immer noch alle infizierten Dateien benötigen. (zur Analyse, Datenwiederherstellung)

user18099
quelle
0

Manchmal betrachten Antivirenprogramme Ihre wichtigen Dateien als bösartig. Statt sie automatisch zu löschen, werden sie unter Quarantäne gestellt, wenn sie nicht ausgeführt werden können oder nicht auf Ihre Dateien zugreifen können, und Sie werden über ihre Aktionen informiert.

user615537
quelle
Willkommen bei Super User! Diese Antwort fügt dem Thread nichts Neues hinzu. Bitte lies die anderen Antworten, bevor du etwas als Antwort postest.
Rahuldottech