¿Por qué el software antivirus no elimina los virus, el malware, etc., sino que los pone en cuarentena?

124

¿Por qué el software antivirus no elimina completamente los virus, el malware, etc., sino que los pone en cuarentena? ¿No es mejor deshacerse de ellos por completo? ¿Por qué? ¿Y cómo puedo eliminarlos manualmente?

virus anti-virus malware virus-removal anti-malware Sardar_Usama
fuente
123
Hace unas semanas, ClamWin AV comenzó a detectar todos los docxarchivos creados en la versión polaca de Word como maliciosos. Yo no uso ClamWin, pero supongo que aquellos que lo hicieron estaban agradecidos por tener cuarentena.
gronostaj
10
Esta discusión dio lugar a una pregunta relacionada Sec.SE .
Ben N
55
Casi todos los programas antivirus que he usado le permiten elegir qué sucede cuando se detecta una amenaza particular (si ignora, pone en cuarentena o elimina el archivo sospechoso ...).
Avance el
8
Para los que solicitan cerrar esta pregunta como basada en la opinión : hay razones para poner los archivos en cuarentena que no se basan en la opinión: falso positivo, posibilidad futura de recuperar el archivo, recuperación parcial del archivo infectado, posibilidad de estudiar el virus. . la elección de mantener o no mantener ellos puede ser el tiempo personal, aunque no completamente arbitraria: en efecto, si un archivo es un uno (una parte del programa) distribuida es posible copiar / descarga de una fuente segura y reemplazar el original sin necesidad de conservar la copia infectada. En cambio, no hay oportunidad para los que hicimos nosotros (aquí personal)
Hastur
66
Hace muchos años un paquete de AV cuyo nombre no mencionaré ( toser Symantec tos ) decidió bandera cientos de DLL del sistema infectado durante una exploración rutinaria durante la noche. Naturalmente, poner en cuarentena la mitad del sistema operativo no funcionó bien cuando se reinició Windows. La máquina estaba completamente bloqueada y no podía arrancarse ni siquiera en modo seguro. Así que tuve que quitar el HD de la máquina, ponerlo en otra máquina como una segunda unidad y mover las DLL a donde pertenecían. Esto tomó un día completo para lograrlo. Considere lo que habría sucedido si esos archivos se hubieran eliminado en lugar de ponerlos en cuarentena.
Carey Gregory el

Respuestas:

135

Los virus y malwares no son peligrosos si no se ejecutan.
El usuario no puede ejecutar un archivo en cuarentena y el código malicioso (virus o malware ) no tiene posibilidad de actuar. Si el virus / malware se puede eliminar, se eliminará de inmediato.
Si no, el archivo se moverá a cuarentena.

Hay diferentes razones para esto:

  • Falso positivo (como lo subrayan otras respuestas también, ver más abajo en más explicaciones ).
  • Posibilidad futura de recuperar el archivo (el virus agrega su código dentro del archivo original y mueve / cripta / oculta parte del código original en algún lugar. En este momento no es posible recuperar el archivo, pero tal vez lo sea en un futuro cercano).
    De hecho, si el archivo es único (por ejemplo, uno creado por el propietario de la computadora) y es de alguna manera valioso , el usuario puede encontrar una manera de recuperar todas las partes que aún es posible recuperar de él. Una parte de una tesis (o de una imagen) siempre es mejor que nada.

  • Posibilidad de estudiar el virus por la compañía antivirus o de individualizar otra computadora con la infección (imaginemos que tiene un archivo atacado por un virus. Su firma, md5sumcambios. Tiene el mismo archivo en muchas computadoras. Si la firma es la misma, usted puede adivinar que son atacados. Si revisa sus copias de seguridad, puede encontrar la primera vez que actuó el virus).
    Nota: históricamente, la "quarantena" fue un período de aislamiento de 40 días para los barcos y las personas antes de ingresar a la ciudad para evitar la difusión de la Peste Negra, para ver si el virus se desarrolla o no. En nuestras computadoras, la cuarentena es solo un lugar seguro para mantener inactivos los archivos sospechosos, sin observar ninguna acción del virus.

  • En la cuarentena puede terminar incluso un archivo ejecutable que se modifica.
    Imagine que tiene un programa que vuelve a compilar o un programa de código abierto que no se actualiza a través de las formas habituales de Windows: el antivirus puede notar actividades (escritura) en un exearchivo -cutable y ponerlo en cuarentena.
    Además, dado que hay algunos archivos con contenido activo (como, por ejemplo, Word o macro eXcel ...), algunos antivirus pueden detectar diferencias en las partes ejecutables e interpretarlas como producidas por la acción de un virus.

  • Si tiene la misma versión de un archivo atacado por un virus de diferentes maneras , puede ser (teóricamente) posible recuperar el archivo cruzando y analizando los datos de estas versiones.

Explicación adicional
Piense como un virus y un antivirus para comprender por qué existe la cuarentena, por qué puede haber falsos positivos y por qué esta es una batalla que continúa cada día.

Un virus (o un malware ) es un código compilado que ejecuta el propósito para lo que fue programado.
Como código compilado, es binario (generalmente) y no texto (como lo que está leyendo). Tiene que propagarse y ejecutar algunos deberes (una misión, técnicamente una carga útil ), no necesariamente al mismo tiempo (esto aumenta la posibilidad de propagar la infección antes de que se detecte).

¿Cómo puede un virus propagarse y ejecutarse?

  • Simplemente se puede sobrescribir una parte del código original ( exe, dll, com... archivos) y poner su código en su lugar.

    Virus DOS
    Ejemplo de un antiguo virus DOS que actúa en tal modo .
    El inconveniente es que el programa original puede dejar de funcionar y el virus puede detectarse más rápido (por ejemplo: "... hola, mi programa no funciona ... suceden cosas extrañas ... ¿puede ayudarme? - Sí señor, tiene un virus " ).

  • Puede copiar la parte inicial del archivo que se infectará al final, después de que pueda colocarse en lugar de la primera parte. Entonces, cuando ejecuta el programa, el virus se ejecuta primero y solo luego se ejecuta el programa ... Una variante más inteligente es copiarse al final del archivo y poner un salto al final al comienzo del archivo ( y uno vuelve a su principio al final) ... El inconveniente es que un antivirus puede buscar el código del virus (una vez conocido) y encontrarlo fácilmente. Esto sucedió en el virus Cascade en los años 80-90 ...

    Virus en cascada

  • Puede estar hecho de partes y él ( tenga en cuenta que no ) puede cambiar su forma y esconderse en diferentes partes del programa, moverlas, cifrarlas y codificarlas. Cada vez puede infectar un nuevo archivo de una manera diferente. Por lo tanto, el antivirus solo puede encontrar restos en las huellas digitales, cada día es más difícil de identificar.

Ahora, ¿recuerdas que el virus es (generalmente) código binario? Bueno, las huellas digitales también lo son.
Dado que no son el virus completo sino solo unos pocos bytes, puede suceder que una parte de un archivo comprimido, un archivo de datos o una imagen tenga los mismos bytes de una de las muchas huellas dactilares de virus conocidas, de ahí el falso positivo.

Nota concluyente: no todos los virus fueron planeados para dañar, pero la mayoría de ellos lo hacen, de facto .
Con el uso real de computadoras con cuentas bancarias y cuentas por pagar, ya no parece tan divertido como las imágenes de arriba.

Hastur
fuente
44
Haga +1 en esto específicamente debido a la posibilidad futura de recuperar el archivo . ¡Érase una vez un curso de operación estándar para el software antivirus!
esponjoso
3
@MSalters. No, lamentablemente no hay autocorrección. Estaba hablando en sentido figurado (o al menos estaba tratando de hacerlo): un virus se propaga de un archivo a otro (tal vez otra computadora ...). Luego reside en un archivo (encuentra el hogar). Luego espera ... luego ejecuta lo que se le enseñó (programado). A partir de aquí, el término "tarea" Puede leerlo como "misión" , debería ser más claro, pero es más como si ve un virus como soldado. Por cierto, gracias por el lugar, la respuesta actualizada.
Hastur
41
Tengo curiosidad acerca de la parte "él (nota no)". ¿Qué fue eso?
Alfa el
3
En la frase "En la cuarentena, incluso se puede terminar un ejecutable", no puedo entender qué significa la palabra "terminado". ¿Puedes aclarar esto?
Tanner Swett
44
@Alpha (y otros ...) Es personal, relacionado con la forma en que " siento " ese tipo de virus. Los formadores ejecutaron tareas básicas, a ciegas, sin exhibición de ningún tipo de brillantez. Pero luego comenzaron a modificarse, a esconderse y permanecer dormidos , encriptarse, evolucionar de alguna manera ... las variantes fáciles de encontrar no tenían posibilidades de sobrevivir resistiendo sus intentos de matarlos ; mira: solía "sobrevivir" y "matar" , implícitamente empiezo a reconocerles algún tipo de dignidad como expresión de Inteligencia, como si estuvieran vivos ... así que ya no más que él , o ella si lo prefieres.
Hastur
89

Las aplicaciones antimalware proporcionan una opción de cuarentena, que a menudo está activada de manera predeterminada por dos razones:

  1. Mantenga una copia de seguridad de los elementos identificados como amenazantes en caso de un falso positivo. Aunque no es muy común, he visto casos de falsos positivos en muchos archivos y controladores de aplicaciones legítimos diferentes.
  2. Tener el artículo en cuarentena puede permitir que se investigue mejor. El hecho de que coincida con una firma de malware no significa que sea similar, sino que en realidad puede tener otras particularidades.
Julie Pelletier
fuente
39
Además, si el malware se ha incrustado en un archivo que realmente desea, como un documento de Word o similar, la eliminación total puede ser la peor opción desde la perspectiva de los usuarios. La cuarentena al menos le brinda la oportunidad, por arriesgada que sea, de recuperar el contenido.
Mokubai
8
Además, el software antimalware podría tener una comprensión diferente a la suya en la clasificación. Se sabe que algunos programas antivirus detectan herramientas de SysAdmin como malware y descubrí que algunos eliminan la mitad de mi dispositivo USB sin preguntar cuándo lo conecto a computadoras de ciertas compañías y escuelas. netcat, wireshark, etc. son conocidos canditates. También he visto personas que almacenan su única copia de su tesis de maestría en una memoria USB. Espero que el escáner antimalware no lo detecte como falso positivo y lo elimine sin preguntar.
H. Idden
13
¿No es muy común? Creo que casi todas las detecciones que ha tenido mi antivirus fueron falsos positivos.
Oriol
66
@JuliePelletier La proporción de falsos positivos está fuertemente influenciada por las acciones del usuario. Nunca tengo un virus, malware o algo así porque soy muy cuidadoso. Esto automáticamente hace que la mayoría (si no todas) las detecciones sean falsos positivos. Todavía uso un antivirus, por supuesto :).
Mixxiphoid
3
@Mokubai Es una idea interesante que un virus podría causar estragos al agregar la firma viri a los archivos legítimos, haciendo que el av haga el trabajo sucio.
emory
72

Por la misma razón que (la mayoría) de los gobiernos arrestan a presuntos delincuentes en lugar de dispararles en la calle a la menor provocación:

Desea darle al sospechoso la oportunidad de defenderse, en caso de que en realidad no haya cometido ningún delito. E, incluso si cometieron un delito, es probable que desee averiguar todo al respecto.

Carreras de ligereza en órbita
fuente
38
Por esa analogía, debería haber al menos algún antivirus que se elimine de forma predeterminada ...
PlasmaHH
55
@ ΈρικΚωνσταντόπουλος: Qué declaración tan ridícula . ¿Windows 7 también "no existe"?
Carreras de ligereza en órbita
99
@ ΈρικΚωνσταντόπουλος: Las personas usarán Windows 7 y 8 durante mucho tiempo. No hay nada "inexistente" en un software de un año de antigüedad. ¡No seas tan tonto!
ligereza corre en órbita el
14
@ ΈρικΚωνσταντόπουλος Windows 7 ha extendido el soporte hasta 2020, amigo; Windows 8 hasta 2023. Estoy luchando por detectar tu punto. ¿Qué es?
ligereza corre en órbita el
20
@ ΈρικΚωνσταντόπουλος Sí, en 2023. ¿Cuál es su punto?
ligereza corre en órbita el
1

Los virus (por ejemplo) no son necesariamente un binario "independiente" (.exe). Tradicionalmente, muchos de ellos se "unen" a (muchos) ejecutables normales. (de ahí la elección de la palabra: "infectar")

Por lo tanto, la "eliminación" del archivo de malware no es la única opción. Muchos AV ofrecen la opción de "limpiar" los archivos infectados. (elimine la parte del virus de los archivos de programa normales. Deje el programa normal donde está)

"Difundir la infección" no se basaría en "ejecutar el malware" (proceso visible .exe), sino en ejecutar cualquier "programa normal" (Word, Excel). (o abra un documento normal con esos)

Mover el archivo de programa "normal pero infectado" a una ubicación de cuarentena es un primer paso para detener la propagación de la infección. Allí, es menos probable que se ejecute continuamente durante la operación diaria.

La cuarentena le brinda opciones, antes de eliminarla. En caso de que la "limpieza" fallara. En caso de que tenga una "mejor herramienta" en otro lugar. O en caso de que aún necesite todos esos archivos infectados. (para análisis, recuperación de datos)

usuario18099
fuente
0

Solo que a veces los antivirus pueden considerar sus archivos importantes como maliciosos y, en lugar de eliminarlos automáticamente, los pone en cuarentena donde no pueden ejecutar o acceder a sus archivos y le notifica sus acciones.

usuario615537
fuente
¡Bienvenido a Super User! Esta respuesta no agrega nada nuevo al hilo. Lea las otras respuestas antes de publicar algo como respuesta.
rahuldottech