Pourquoi un logiciel anti-virus ne supprime-t-il pas les virus, logiciels malveillants, etc., mais les met en quarantaine?

124

Pourquoi un logiciel anti-virus ne supprime-t-il pas complètement les virus, les logiciels malveillants, etc., mais les met en quarantaine? Ne vaut-il pas mieux s'en débarrasser complètement? Pourquoi? Et comment puis-je les supprimer manuellement?

Sardar_Usama
la source
123
Il y a quelques semaines, ClamWin AV a commencé à détecter docxcomme malveillants tous les fichiers créés dans la version polonaise de Word. Je n'utilise pas ClamWin moi-même, mais je suppose que ceux qui l'ont fait étaient reconnaissants d'avoir la quarantaine.
Gronostaj
10
Cette discussion a donné naissance à une question connexe Sec.SE .
Ben N
5
Presque tous les programmes antivirus que j'ai utilisés vous permettent de choisir ce qui se passe lorsqu'une menace particulière est détectée (qu'elle ignore, met en quarantaine ou supprime le fichier suspecté ...).
Percée
8
Pour ceux qui demandent de clore cette question en fonction d' opinions : il existe des raisons de mettre des fichiers en quarantaine qui ne sont pas basées sur une opinion: faux positif, possibilité future de récupérer le fichier, récupération partielle du fichier infecté, possibilité d'étudier le virus. . le choix de garder ou ne pas garder les peuvent être éventuellement personnelles, même si pas complètement arbitraire: en effet , si un fichier est une distribution (une partie de programme) , il est possible de copier / télécharger à partir d' une source sûre et remplacer l'original sans avoir besoin de conserver la copie infectée. Aucune chance à la place pour ceux fabriqués par nous (ici personnels)
Hastur
6
Il y a plusieurs années un paquet AV dont je ne mentionnerai pas ( toux Symantec toux ) a décidé de centaines de drapeaux de DLL système comme infecté lors d' une analyse de routine pendant la nuit. Naturellement, la mise en quarantaine de la moitié du système d’exploitation n’a pas été satisfaisante au redémarrage de Windows. La machine était complètement bloquée et ne pouvait pas être démarrée même en mode sans échec. Je devais donc retirer le disque dur de la machine, le placer sur une autre machine en tant que deuxième disque et déplacer les DLL à leur place. Cela a pris une journée complète à accomplir. Considérez ce qui se serait passé si ces fichiers avaient été supprimés au lieu d'être mis en quarantaine.
Carey Gregory

Réponses:

135

Les virus et les malwares ne sont pas dangereux s'ils ne sont pas exécutés.
Un fichier en quarantaine ne peut pas être exécuté par l'utilisateur et le code malveillant (virus ou programme malveillant ) n'a aucune possibilité d'agir. Si le virus / programme malveillant est amovible, il sera immédiatement supprimé.
Sinon, le fichier sera placé en quarantaine.

Il y a différentes raisons à cela:

  • Faux positif (comme le soulignent d'autres réponses, voir ci-dessous l' explication supplémentaire ).
  • Possibilité future de récupérer le fichier (le virus ajoute son code dans le fichier d'origine et déplace / crypt / cache une partie du code d'origine quelque part. Il est actuellement impossible de récupérer le fichier, mais ce sera peut-être possible dans un avenir proche).
    En effet, si le fichier est unique (par exemple, créé par le propriétaire de l’ordinateur) et qu’il est précieux , l’utilisateur peut trouver un moyen de récupérer toutes les parties encore disponibles. Une partie d'une thèse (ou d'une image) vaut toujours mieux que rien.
  • Possibilité d' étudier le virus par la société antivirus ou d'individualiser un autre ordinateur avec l'infection (supposons qu'un fichier soit attaqué par un virus. Sa signature md5sumchange , vous avez le même fichier sur de nombreux ordinateurs. Si la signature est la même devinez qu'ils sont attaqués. Si vous archivez vos sauvegardes, vous pourrez trouver la première fois que le virus a agi).
    Note: Historiquement, la "quarantaine" était une période d'isolement de 40 jours pour les navires et les personnes avant d'entrer dans la ville afin d'empêcher la diffusion de la peste noire de voir si le virus se développait ou non. Sur nos ordinateurs, la quarantaine n’est qu’un endroit sûr pour garder inactifs les fichiers suspects, sans observer aucune action du virus.

  • En quarantaine, même un fichier exécutable modifié peut se retrouver.
    Imaginez que vous avez un programme que vous recompilez ou un programme open source qui n'est pas mis à jour de manière habituelle sous Windows: l'antivirus peut remarquer des activités (écriture) sur un exefichier à découper et le mettre en quarantaine.
    De plus, étant donné que certains fichiers ont un contenu actif (comme, par exemple, une macro Word ou eXcel ...), certains antivirus peuvent détecter les différences dans les parties exécutables et interpréter celles produites par l’action d’un virus.

  • Si vous avez la même version d' un fichier attaqué par un virus de différentes manières , il peut être (théoriquement) possible de récupérer le fichier en croisant et en analysant les données de ces versions.

Explication supplémentaire
Pensez comme un virus et un antivirus pour comprendre pourquoi la quarantaine existe, pourquoi il peut y avoir des faux positifs et pourquoi il s’agit d’une bataille qui se poursuit chaque jour.

Un virus (ou un malware ) est un code compilé qui exécute le but de ce qui a été programmé.
En tant que code compilé, il s'agit d'un fichier binaire (généralement) et non de texte (comme ce que vous lisez). Il doit se propager et exécuter certains devoirs (une mission, techniquement une charge utile ), mais pas nécessairement au même moment (cela augmente la possibilité de propagation de l'infection avant qu'elle ne soit détectée).

Comment un virus peut-il se propager et être exécuté?

  • Il suffit peut remplacer une partie du code d' origine ( exe, dll, com... des fichiers) et de mettre son code à la place.

    Virus DOS
    Exemple d'un ancien virus DOS qui agit dans un tel mode .
    L'inconvénient est que le programme d'origine peut cesser de fonctionner et que le virus peut être détecté plus rapidement (par exemple: "... bonjour mon programme ne fonctionne pas ... d'étranges choses se produisent ... pouvez-vous m'aider? - Oui, monsieur, vous avez virus " ).

  • Il peut copier la partie initiale du fichier à infecter à la fin, après avoir pu se mettre à la place de la première partie. Ainsi, lorsque vous exécutez le programme, le virus est d'abord exécuté, puis le programme est exécuté ... Une variante plus intelligente consiste à se copier à la fin du fichier et à mettre un saut à la fin au début du fichier ( et un retour à son début à la fin) ... L'inconvénient est qu'un antivirus peut rechercher le code du virus (une fois connu) et le trouver facilement. Cela s'est passé dans le cascade virus dans les années 80-90 ...

    Virus de la cascade

  • Il peut être composé de parties et il ( notez pas cela ) peut changer de forme et se cacher dans différentes parties du programme, les déplacer, les chiffrer et les brouiller. À chaque fois, il peut infecter un nouveau fichier de manière différente. Par conséquent, l'antivirus ne peut trouver que des traces d'empreintes digitales - il est chaque jour plus difficile à identifier.

Maintenant, vous souvenez-vous que le virus est (généralement) du code binaire? Eh bien, les empreintes digitales sont aussi.
Puisqu'ils ne constituent pas le virus complet mais seulement quelques octets, il peut arriver qu'une partie d'un fichier compressé, d'un fichier de données ou d'une image possède les mêmes octets que l'une des nombreuses empreintes de virus connues - d'où le faux positif.

Remarque concluante: tous les virus ne sont pas conçus pour causer des dommages, mais la plupart le font de facto .
Avec l'utilisation réelle d'ordinateurs avec des comptes bancaires et des factures à payer, cela ne semble plus aussi amusant que les images ci-dessus.

Hastur
la source
4
+1 sur ceci spécifiquement à cause de la possibilité future de récupérer le fichier - il était une fois un cours d'opération standard pour les logiciels antivirus!
moelleux
3
@MSalters. Non, malheureusement pas de correction automatique. Je parlais au figuré (ou du moins j'essayais de le faire): un virus se propage d'un fichier à un autre (peut-être un autre ordinateur ...). Ensuite, il réside dans un fichier (il trouve la maison). Puis il attend ... puis il exécute ce pour quoi il a été enseigné (programmé). D'ici le terme "devoir" Vous pouvez le lire comme "mission" , cela devrait être plus clair, mais c'est plus comme si vous voyiez un virus comme un soldat. BTW merci pour la tache, réponse mise à jour.
Hastur
41
Je suis curieux de connaître la partie "il (not not it)". De quoi s'agissait-il?
Alpha
3
Dans la phrase "En quarantaine, même un exécutable peut être terminé", je ne peux pas comprendre ce que signifie le mot "fini". Pouvez-vous clarifier cela?
Tanner Swett
4
@Alpha (et d'autres ...) C'est personnel, lié à la façon dont je "sens" ce genre de virus. Les formateurs ont exécuté des tâches de base, à l'aveuglette, sans aucune exposition de génie. Mais ensuite, ils ont commencé à se modifier, à se cacher, à rester dorés , à se chiffrer, à évoluer ... - les variantes faciles à trouver n’avaient aucune possibilité de survivre en résistant à vos tentatives de les tuer ; regarde: j’ai utilisé "survivre" et "tuer" , implicitement, je commence à leur reconnaître une sorte de dignité comme expression de l’intelligence, comme s’ils étaient en vie ... alors pas plus que lui , ou elle si tu préfères.
Hastur
89

Les applications anti-programmes malveillants fournissent une option de quarantaine, qui est souvent activée par défaut pour deux raisons:

  1. Conservez une copie de sauvegarde des éléments identifiés comme menaçants en cas de faux positif. Bien que cela ne soit pas très courant, j'ai constaté des cas de faux positifs sur de nombreux fichiers et pilotes d'application légitimes.
  2. Le fait de mettre l’article en quarantaine peut lui permettre d’être mieux étudié. Le fait qu'il corresponde à une signature de logiciel malveillant ne signifie pas qu'il est simplement similaire, mais peut en réalité présenter d'autres particularités.
Julie Pelletier
la source
39
De plus, si le programme malveillant s’est incorporé dans un fichier de votre choix, tel qu’un document Word ou similaire, la suppression pure et simple peut être la pire option du point de vue de l’utilisateur. La mise en quarantaine vous donne au moins une chance, quel que soit le risque, de récupérer le contenu.
Mokubai
8
De plus, le logiciel anti-malware peut avoir une compréhension différente de celle de la classification. Certains logiciels anti-virus sont connus pour détecter les outils SysAdmin comme des logiciels malveillants et certains ont supprimé la moitié de ma clé USB sans demander le moment où je le connecte à des ordinateurs de certaines entreprises ou écoles. Netcat, WireShark, etc. sont connus candites. J'ai aussi vu des gens stocker leur unique copie de leur mémoire de maîtrise sur une clé USB. J'espère que le scanner anti-malware ne le détecte pas comme un faux positif et le supprime sans le demander.
H. Idden
13
Pas très commun? Je pense que presque toutes les détections de mon antivirus ont été des faux positifs.
Oriol
6
@JuliePelletier Le ratio de faux positifs est fortement influencé par les actions de l'utilisateur. Je n'ai jamais de virus, de malware ou autre, parce que je suis très prudent. Cela fait automatiquement que la plupart (sinon toutes) des détections sont des faux positifs. J'utilise toujours un anti-virus bien sûr :).
Mixxiphoid
3
@Mokubai Il est intéressant de noter qu'un virus pourrait causer des dégâts en ajoutant une signature viri à des fichiers légitimes, ce qui aurait pour effet de faire le travail sale de l'av.
emory
72

Pour la même raison, la plupart des gouvernements arrêtent des criminels présumés au lieu de les abattre dans la rue à la moindre provocation:

Vous voulez donner au suspect une chance de se défendre, au cas où il n'aurait commis aucun crime. Et, même s'ils ont commis un crime, vous voulez probablement tout savoir à ce sujet.

Courses de légèreté en orbite
la source
38
Par cette analogie, il devrait y avoir au moins un antivirus qui supprime par défaut ...
PlasmaHH
5
@ ΡικΚωνσταντόπουλος: Quelle déclaration ridicule . Windows 7 n’existe-t-il pas non plus?
Courses de légèreté en orbite
9
@ ΡικΚωνσταντόπουλος: Les gens utiliseront Windows 7 et 8 pendant longtemps. Il n'y a rien de "inexistant" dans un logiciel d'un an. Ne sois pas si bête!
Courses de légèreté en orbite
14
@ Windows 7 a étendu la prise en charge jusqu'en 2020, mate; Windows 8 jusqu'en 2023. J'ai du mal à comprendre votre argument. Qu'Est-ce que c'est?
Courses de légèreté en orbite
20
@ ΡικΚωνσταντόπουλος Oui, en 2023. Quel est votre point de vue?
Courses de légèreté en orbite
1

Les virus (par exemple) ne sont pas nécessairement un fichier binaire "autonome" (.exe). Traditionnellement, beaucoup d’entre eux "s’attachent" à (beaucoup) des exécutables normaux. (d'où le choix du mot: "infecter")

Par conséquent, la "suppression" du fichier malveillant n'est pas la seule option. De nombreux véhicules audiovisuels offrent la possibilité de "nettoyer" les fichiers infectés. (Supprimez la partie virus des fichiers de programme normaux. Laissez le programme normal à l’endroit.)

"La propagation de l'infection" ne serait alors pas basée sur "l'exécution du logiciel malveillant" (processus visible .exe) - mais sur l'exécution d' un "programme normal" (Word, Excel). (ou ouvrez un document normal avec ceux-ci)

Déplacer le fichier de programme "normal mais infecté" vers un emplacement de quarantaine est la première étape pour arrêter la propagation de l'infection. Là, il est moins susceptible d’être exécuté en continu au cours de chaque opération quotidienne.

La quarantaine vous donne des options avant la suppression. Dans le cas où le "nettoyage" a échoué. Au cas où vous auriez un "meilleur outil" ailleurs. Ou au cas où vous auriez toujours besoin de tous ces fichiers infectés. (pour analyse, récupération de données)

utilisateur18099
la source
0

Parfois, des antivirus peuvent considérer vos fichiers importants comme malveillants. Au lieu de les supprimer automatiquement, ils sont mis en quarantaine là où ils ne peuvent pas exécuter ou accéder à vos fichiers et vous avertissent de ses actions.

utilisateur615537
la source
Bienvenue sur Super User! Cette réponse n'ajoute rien de nouveau au fil. Veuillez lire les autres réponses avant de poster quelque chose comme réponse.
rahuldottech