Mengapa perangkat lunak anti-virus tidak menghapus virus, malware, dll., Tetapi sebaliknya mengkarantina mereka?

124

Mengapa perangkat lunak anti-virus tidak sepenuhnya menghapus virus, malware, dll., Tetapi sebaliknya mengkarantina mereka? Apakah tidak lebih baik untuk sepenuhnya menyingkirkan mereka? Mengapa? Dan bagaimana cara menghapusnya secara manual?

virus anti-virus malware virus-removal anti-malware Sardar_Usama
sumber
123
Beberapa minggu yang lalu ClamWin AV mulai mendeteksi semua docxfile yang dibuat dalam versi Polandia Word sebagai berbahaya. Saya tidak menggunakan ClamWin sendiri, tapi saya kira mereka yang bersyukur memiliki karantina.
gronostaj
10
Diskusi ini melahirkan pertanyaan Sec.SE terkait .
Ben N '
5
Hampir setiap program anti-virus tunggal yang saya gunakan memungkinkan Anda memilih apa yang terjadi ketika ancaman tertentu terdeteksi (apakah itu mengabaikan, karantina, atau menghapus file yang dicurigai ...).
Terobosan
8
Bagi mereka yang meminta untuk menutup pertanyaan ini sebagai berbasis opini : ada alasan untuk memasukkan file dalam karantina yang tidak berdasarkan opini: false positive, kemungkinan di masa depan untuk memulihkan file, pemulihan sebagian file yang terinfeksi, kemungkinan mempelajari virus .. . pilihan untuk menyimpan atau tidak untuk menjaga mereka bisa akhirnya pribadi, bahkan jika tidak benar-benar sewenang-wenang: memang jika file adalah didistribusikan satu (bagian Program) adalah mungkin untuk menyalin / download dari sumber yang aman dan mengganti yang asli tanpa perlu menyimpan salinan yang terinfeksi. Sebaliknya tidak ada kesempatan untuk yang dibuat oleh kami (di sini pribadi)
Hastur
6
Bertahun-tahun yang lalu paket AV yang namanya tidak akan saya sebutkan ( batuk Symantec batuk ) memutuskan untuk menandai ratusan sistem DLL sebagai terinfeksi selama pemindaian semalam rutin. Secara alami, mengkarantina setengah dari sistem operasi tidak berjalan dengan baik ketika Windows di-reboot. Mesin itu sepenuhnya tertutup dan tidak bisa di-boot bahkan dalam mode aman. Jadi saya harus menghapus HD dari mesin, memasukkannya ke komputer lain sebagai drive kedua, dan memindahkan DLL kembali ke tempat semula. Ini membutuhkan satu hari penuh untuk diselesaikan. Pertimbangkan apa yang akan terjadi jika file-file itu dihapus alih-alih dikarantina.
Carey Gregory

Jawaban:

135

Virus dan malware tidak berbahaya jika tidak dieksekusi.
File dalam karantina tidak dapat dijalankan oleh pengguna dan kode jahat (virus atau malware ) tidak memiliki kemungkinan untuk bertindak. Jika virus / malware dilepas, maka akan segera dihapus.
Jika tidak file akan dipindahkan ke karantina.

Ada beberapa alasan untuk ini:

  • Salah positif (seperti ditekankan oleh jawaban lain juga, lihat di bawah dalam penjelasan lebih lanjut ).
  • Kemungkinan di masa depan untuk memulihkan file (virus menambahkan kode di dalam file asli dan memindahkan / crypt / menyembunyikan bagian dari kode asli di suatu tempat. Saat ini tidak mungkin untuk memulihkan file tetapi mungkin dalam waktu dekat akan terjadi).
    Memang jika file itu unik (misalnya yang dibuat oleh pemilik komputer) dan itu entah bagaimana berharga , pengguna dapat menemukan cara untuk memulihkan semua bagian yang masih mungkin untuk dipulihkan dari itu. Bagian dari tesis (atau gambar) selalu lebih baik daripada tidak sama sekali.

  • Kemungkinan untuk mempelajari virus oleh perusahaan antivirus atau untuk mengindividuasikan komputer lain dengan infeksi (bayangkan Anda memiliki file yang diserang oleh virus. Tanda tangannya, md5sumberubah. Anda memiliki file yang sama di banyak komputer. Jika tanda tangannya sama Anda bisa menebak mereka diserang. Jika Anda memeriksa cadangan Anda, Anda dapat menemukan pertama kali virus bertindak).
    Catatan: secara historis "quarantena" adalah periode isolasi 40 hari untuk kapal dan orang sebelum memasuki kota untuk mencegah penyebaran Black Death, untuk melihat apakah virus berkembang atau tidak. Di komputer kami, karantina hanyalah tempat yang aman untuk menyimpan file yang dicurigai tidak aktif, tanpa mengamati tindakan virus apa pun.

  • Di karantina dapat berakhir bahkan file yang dapat dieksekusi yang diubah.
    Bayangkan Anda memiliki program yang Anda kompilasi ulang atau program open source yang diperbarui bukan melalui cara windows biasa: antivirus dapat melihat aktivitas (menulis) pada exefile yang dapat dipotong dan memasukkannya ke dalam karantina.
    Terlebih lagi karena ada beberapa file dengan konten aktif (seperti, misalnya, Word atau eXcel macro ...) beberapa antivirus dapat menemukan perbedaan pada bagian yang dapat dieksekusi dan menafsirkannya sebagai yang dihasilkan oleh aksi virus.

  • Jika Anda memiliki versi yang sama dari file yang diserang dari virus dengan cara yang berbeda , dapat (secara teoritis) memulihkan file dengan memotong dan menganalisis data dari versi ini.

Penjelasan lebih lanjut
Berpikirlah seperti virus dan antivirus untuk memahami mengapa karantina itu ada, mengapa bisa ada positif palsu dan mengapa ini adalah pertempuran yang berlanjut setiap hari.

Virus (atau malware ) adalah kode yang dikompilasi yang mengeksekusi tujuan untuk apa yang diprogram untuk.
Sebagai kode yang dikompilasi, ini biner (biasanya) dan bukan teks (seperti yang Anda baca). Ia harus menyebar sendiri dan melakukan beberapa pekerjaan rumah (misi, secara teknis muatan ), tidak harus pada saat yang sama (ini meningkatkan kemungkinan penyebaran infeksi sebelum terdeteksi).

Bagaimana virus dapat menyebarkan dirinya sendiri dan dieksekusi?

  • Cukup dapat menimpa bagian dari kode asli ( exe, dll, com... file) dan menempatkan kode sebagai gantinya.

    Virus DOS
    Contoh virus DOS kuno yang bertindak dalam mode seperti itu .
    Kekurangannya adalah bahwa program asli dapat berhenti bekerja dan virus dapat dideteksi lebih cepat (Misalnya: "... halo program saya tidak berfungsi ... hal-hal aneh terjadi ... dapatkah Anda membantu? - Ya, Sir, Anda memiliki virus " ).

  • Itu dapat menyalin bagian awal file yang akan terinfeksi pada akhirnya, setelah itu dapat menempatkan dirinya sendiri daripada bagian pertama. Jadi, ketika Anda menjalankan program, virus pertama kali dieksekusi dan hanya kemudian program dijalankan ... Varian yang lebih cerdas adalah menyalin dirinya sendiri di akhir file dan meletakkan lompatan ke akhir di awal file ( dan satu kembali ke awal di akhir) ... Kekurangannya adalah bahwa antivirus dapat mencari kode virus (setelah dikenal) dan menemukannya dengan mudah. Ini terjadi pada virus Cascade di tahun 80an-90an ...

    Virus kaskade

  • Itu dapat dibuat dari bagian-bagian dan dia ( perhatikan bukan ) dapat mengubah bentuk dan menyembunyikan dirinya di berbagai bagian program, memindahkannya, mengenkripsi dan berebut. Setiap kali ia dapat menginfeksi file baru dengan cara yang berbeda. Oleh karena itu antivirus hanya dapat menemukan sisa-sisa sidik jari - setiap hari ia lebih sulit diidentifikasi.

Sekarang, apakah Anda ingat bahwa virus itu (biasanya) kode biner? Nah, sidik jarinya juga.
Karena mereka bukan virus penuh tetapi hanya beberapa byte, mungkin terjadi bahwa bagian dari file terkompresi, file data, atau gambar memiliki byte yang sama dengan salah satu dari banyak sidik jari virus yang dikenal - karenanya positif palsu.

Catatan konklusif: tidak semua virus direncanakan untuk rusak, tetapi kebanyakan dari mereka melakukannya, secara de facto .
Dengan penggunaan aktual komputer dengan rekening bank dan tagihan untuk membayar, rasanya tidak lagi selucu gambar di atas.

Cepat
sumber
4
Memberi +1 pada hal ini secara khusus karena kemungkinan di masa depan untuk memulihkan file - pada suatu waktu ini adalah program operasi standar untuk perangkat lunak antivirus!
fluffy
3
@Malters. Tidak, sayangnya tidak ada koreksi otomatis. Saya berbicara secara kiasan (atau setidaknya saya coba): virus menyebar dari file ke yang lain (mungkin komputer lain ...). Kemudian ia berada dalam file (ditemukan di rumah). Lalu ia menunggu ... lalu mengeksekusi apa yang diajarkan (diprogram untuk). Dari sini istilah "pekerjaan rumah" Anda dapat membacanya sebagai "misi" , itu harus lebih jelas, tetapi lebih seperti jika Anda melihat virus sebagai seorang prajurit. BTW terima kasih atas tempatnya, jawab pembaruan.
Hastur
41
Saya ingin tahu tentang bagian "he (not not it)". Tentang apa itu?
Alpha
3
Dalam frasa "Di karantina, bahkan sebuah executable dapat selesai", saya tidak tahu apa arti kata "selesai". Bisakah Anda mengklarifikasi ini?
Tanner Swett
4
@Alpha (dan lainnya ...) Ini bersifat pribadi, terkait dengan cara saya "merasakan" virus semacam itu. Para pembentuk melaksanakan tugas-tugas dasar, secara membabi buta, tanpa menunjukkan kecemerlangan apa pun. Tetapi kemudian mereka mulai memodifikasi diri mereka sendiri, untuk bersembunyi dan tetap tidur , mengenkripsi diri mereka sendiri, entah bagaimana berevolusi ... - varian yang mudah ditemukan tidak memiliki kemungkinan untuk bertahan hidup melawan upaya Anda untuk membunuh mereka; lihat: Saya menggunakan "bertahan" & "membunuh" , secara implisit saya mulai mengenali mereka semacam martabat sebagai ungkapan Intelejen, seolah-olah mereka hidup ... jadi tidak ada lagi kecuali dia , atau dia jika Anda mau.
Hastur
89

Aplikasi anti-malware menyediakan opsi karantina, yang sering diaktifkan secara default untuk dua alasan:

  1. Simpan cadangan item yang diidentifikasi sebagai ancaman jika ada false positive. Meskipun tidak terlalu umum, saya telah melihat kasus false positive pada banyak file aplikasi dan driver yang berbeda.
  2. Memiliki barang dalam karantina memungkinkan untuk diselidiki lebih baik. Fakta bahwa itu cocok dengan tanda tangan malware tidak berarti itu hanya mirip tetapi sebenarnya mungkin memiliki kekhasan lainnya.
Julie Pelletier
sumber
39
Selain itu jika malware telah menyematkan dirinya dalam file yang Anda inginkan, seperti dokumen Word atau sejenisnya, maka penghapusan langsung mungkin merupakan opsi terburuk dari perspektif pengguna. Karantina setidaknya memberi Anda kesempatan, betapapun berisiko, untuk mendapatkan kembali isinya.
Mokubai
8
Selain itu perangkat lunak anti-malware mungkin memiliki pemahaman yang berbeda dengan Anda dalam klasifikasi. Beberapa perangkat lunak anti-virus diketahui mendeteksi alat SysAdmin sebagai malware dan saya menemukan beberapa di antaranya menghapus setengah USB-Stick saya tanpa menanyakan kapan saya menghubungkannya ke komputer dari perusahaan dan sekolah tertentu. netcat, wireshark, dll. dikenal sebagai kandidat. Saya juga melihat orang-orang menyimpan satu-satunya salinan tesis master mereka pada USB-Stick. Saya harap pemindai anti-malware tidak mendeteksi itu sebagai positif palsu dan menghapusnya tanpa bertanya.
H. Idden
13
Tidak terlalu umum? Saya pikir hampir semua deteksi antivirus saya memiliki positif palsu.
Oriol
6
@JuliePelletier Rasio positif palsu sangat dipengaruhi oleh tindakan pengguna. Saya tidak pernah memiliki virus, malware, atau semacamnya karena saya sangat berhati-hati. Ini secara otomatis membuat sebagian besar (jika tidak semua) deteksi adalah positif palsu. Saya masih menggunakan antivirus tentunya :).
Mixxiphoid
3
@Mokubai Ini adalah ide yang menarik bahwa virus dapat menyebabkan kekacauan dengan menambahkan tanda tangan viri ke file yang sah - membuat av melakukan pekerjaan kotor.
emory
72

Untuk alasan yang sama bahwa (kebanyakan) pemerintah menangkap tersangka penjahat alih-alih menembak mereka di jalan dengan sedikit provokasi:

Anda ingin memberi tersangka kesempatan untuk membela diri, jika mereka benar-benar tidak melakukan kejahatan sama sekali. Dan, bahkan jika mereka melakukan kejahatan, Anda mungkin ingin mencari tahu tentang hal itu.

Lightness Races di Orbit
sumber
38
Dengan analogi itu, harus ada setidaknya beberapa antivirus yang menghapus secara default ...
PlasmaHH
5
@ ΈρικΚωνσταντόπουλος: Pernyataan yang menggelikan . Apakah Windows 7 juga "tidak ada"?
Lightness Races in Orbit
9
@ ΈρικΚωνσταντόπουλος: Orang akan menggunakan Windows 7 dan 8 untuk waktu yang lama. Tidak ada yang "tidak ada" tentang perangkat lunak berumur satu tahun. Jangan konyol!
Lightness Races in Orbit
14
@ ΈρικΚωνσταντόπουλος Windows 7 telah memperpanjang dukungan hingga 2020, sobat; Windows 8 hingga 2023. Saya berjuang untuk mendeteksi poin Anda. Apa itu?
Lightness Races in Orbit
20
@ ΈρικΚωνσταντόπουλος Ya, pada 2023. Apa poin Anda?
Lightness Races di Orbit
1

Virus (misalnya) tidak harus berupa biner "berdiri sendiri" (.exe). Secara tradisional, banyak dari mereka "melampirkan" diri mereka ke (banyak) executables normal. (maka pilihan kata: "infect")

Karenanya "penghapusan" file malware bukan satu-satunya pilihan. Banyak AV menawarkan opsi untuk "membersihkan" file yang terinfeksi. (hapus bagian virus dari file program yang normal. Biarkan program normal di tempatnya.)

"Penyebaran infeksi" tidak akan didasarkan pada "menjalankan malware" (proses yang terlihat .exe) - tetapi didasarkan pada menjalankan "program normal" apa pun (Word, Excel). (atau buka dokumen normal dengan itu)

Memindahkan file program "normal tetapi terinfeksi" ke lokasi karantina, adalah langkah pertama untuk berhenti menyebarkan infeksi. Di sana, kecil kemungkinannya untuk dieksekusi terus menerus selama operasi setiap hari.

Karantina memberi Anda opsi, sebelum dihapus. Jika "pembersihan" gagal. Jika Anda memiliki "alat yang lebih baik" di tempat lain. Atau jika Anda masih membutuhkan semua file yang terinfeksi. (untuk analisis, pemulihan data)

pengguna18099
sumber
0

Terkadang anti virus mungkin menganggap file penting Anda sebagai berbahaya dan bukannya menghapusnya secara otomatis, itu mengkarantina mereka di mana mereka tidak dapat mengeksekusi atau mengakses file Anda dan memberi tahu Anda tentang tindakannya.

pengguna615537
sumber
Selamat Datang di Pengguna Super! Jawaban ini menambahkan tidak ada yang baru ke utas. Harap baca jawaban lain sebelum memposting sesuatu sebagai jawaban.
rahuldottech