Warum löscht Antivirensoftware Viren, Malware usw. nicht vollständig, sondern isoliert sie stattdessen? Ist es nicht besser, sie komplett loszuwerden? Warum? Und wie kann ich sie manuell entfernen?
Warum löscht Antivirensoftware Viren, Malware usw. nicht vollständig, sondern isoliert sie stattdessen? Ist es nicht besser, sie komplett loszuwerden? Warum? Und wie kann ich sie manuell entfernen?
Antworten:
Viren und Malware sind nicht gefährlich, wenn sie nicht ausgeführt werden.
Eine Datei in Quarantäne kann vom Benutzer nicht ausgeführt werden und der Schadcode (Virus oder Malware ) hat keine Handlungsmöglichkeit. Wenn der Virus / die Malware entfernbar ist, wird sie sofort entfernt.
Andernfalls wird die Datei in die Quarantäne verschoben.
Dafür gibt es verschiedene Gründe :
Möglichkeit, den Virus durch das Antiviren-Unternehmen zu untersuchen oder einen anderen Computer mit der Infektion zu identifizieren (stellen Sie sich vor, Sie haben eine Datei, die von einem Virus befallen wurde. Die Signatur md5sum
ändert sich. Sie haben dieselbe Datei auf vielen Computern. Wenn die Signatur mit Ihnen identisch ist Wenn Sie Ihre Backups einchecken, können Sie feststellen, wann der Virus zum ersten Mal aufgetreten ist.
Hinweis: Historisch gesehen war die "Quarantäne" eine Zeitspanne von 40 Tagen, in der Schiffe und Menschen vor dem Betreten der Stadt isoliert waren, um die Ausbreitung des Schwarzen Todes zu verhindern und zu prüfen, ob sich das Virus entwickelt oder nicht. Auf unseren Computern ist die Quarantäne nur ein sicherer Ort, um die verdächtigen Dateien inaktiv zu halten, ohne irgendwelche Aktionen des Virus zu beobachten.
In der Quarantäne kann sich sogar eine ausführbare Datei befinden, die geändert wird.
Stellen Sie sich vor, Sie haben ein Programm, das Sie neu kompilieren, oder ein Open-Source-Programm, das nicht über die üblichen Windows-Methoden aktualisiert wird: Das Virenschutzprogramm kann Aktivitäten (Schreiben) auf einer exe
schneidbaren Datei feststellen und diese in die Quarantäne verschieben.
Da es außerdem einige Dateien mit aktivem Inhalt gibt (wie z. B. Word oder eXcel-Makro ...), kann ein Virenschutzprogramm Unterschiede in den ausführbaren Teilen erkennen und solche interpretieren, die durch die Wirkung eines Virus verursacht wurden.
Wenn Sie dieselbe Version einer Datei haben, die auf unterschiedliche Weise von einem Virus angegriffen wurde , kann es (theoretisch) möglich sein, die Datei wiederherzustellen, indem Daten dieser Versionen gekreuzt und analysiert werden.
Weitere Erklärung
Denken Sie wie ein Virus und ein Antivirus, um zu verstehen, warum die Quarantäne existiert, warum es zu Fehlalarmen kommen kann und warum dies ein Kampf ist, der sich jeden Tag fortsetzt.
Ein Virus (oder eine Malware ) ist ein kompilierter Code, der den Zweck für das ausführt, wofür programmiert wurde.
Als kompilierter Code handelt es sich (normalerweise) um Binärcode und nicht um Text (wie Sie ihn lesen). Es muss sich vermehren und einige Hausaufgaben erledigen (eine Mission, technisch gesehen eine Nutzlast ), nicht unbedingt zur gleichen Zeit (dies erhöht die Möglichkeit, die Infektion zu verbreiten, bevor sie entdeckt wird).
Wie kann sich ein Virus verbreiten und ausgeführt werden?
Kann es einfach einen Teil des ursprünglichen Codes (überschreiben exe
, dll
, com
stattdessen ... Dateien) und legt ihren Code.
Beispiel eines alten DOS-Virus, der in einem solchen Modus agiert .
Der Nachteil ist, dass das ursprüngliche Programm möglicherweise nicht mehr funktioniert und der Virus möglicherweise schneller erkannt wird (Beispiel: "... hallo, mein Programm funktioniert nicht ... seltsame Dinge passieren ... können Sie helfen? Virus " ).
Es kann den anfänglichen Teil der zu infizierenden Datei an seinem Ende kopieren , nachdem es sich selbst anstelle des ersten Teils setzen kann. Wenn Sie das Programm ausführen, wird der Virus zuerst ausgeführt und erst dann das Programm. Eine intelligentere Variante besteht darin, sich selbst am Ende der Datei zu kopieren und an den Anfang der Datei zu springen ( und eins zurück zu seinem Anfang an seinem Ende) ... Der Nachteil ist, dass ein Antivirus nach dem Code des Virus (sobald er bekannt ist) suchen und ihn leicht finden kann. Dies geschah im Cascade-Virus in den 80er-90er Jahren ...
Es kann aus Teilen bestehen und er ( beachte es nicht ) kann seine Form ändern und sich in verschiedenen Teilen des Programms verstecken, sie verschieben, verschlüsseln und verschlüsseln. Jedes Mal kann er eine neue Datei auf eine andere Weise infizieren. Daher kann das Antivirus-Programm möglicherweise nur Reste in Fingerabdrücken finden - jeden Tag ist es schwieriger, ihn zu identifizieren.
Weißt du noch, dass es sich bei dem Virus (normalerweise) um Binärcode handelt? Nun, die Fingerabdrücke sind auch.
Da es sich nicht um den vollständigen Virus handelt, sondern nur um wenige Bytes, kann es vorkommen, dass ein Teil einer komprimierten Datei, Datendatei oder eines Bildes die gleichen Bytes wie einer der vielen bekannten Virenfingerabdrücke aufweist - daher das falsche Positiv.
Schlussbemerkung: Nicht alle Viren sollten Schaden anrichten, aber die meisten von ihnen tun dies de facto .
Bei der tatsächlichen Verwendung von Computern mit Bankkonten und zu bezahlenden Rechnungen scheint es nicht mehr so lustig zu sein wie auf den Bildern oben.
Anti-Malware-Anwendungen bieten eine Quarantäneoption, die häufig aus zwei Gründen standardmäßig aktiviert ist:
Aus dem gleichen Grund, dass (die meisten) Regierungen mutmaßliche Kriminelle verhaften, anstatt sie bei der geringsten Provokation auf der Straße zu erschießen:
Sie möchten dem Verdächtigen die Möglichkeit geben, sich zu verteidigen, falls er überhaupt kein Verbrechen begangen hat. Und selbst wenn sie ein Verbrechen begangen haben, möchten Sie wahrscheinlich alles darüber herausfinden.
Viren (zum Beispiel) sind nicht unbedingt eine "eigenständige" Binärdatei (.exe). Traditionell "hängen" sich viele von ihnen an (viele) normale ausführbare Dateien. (daher die Wahl des Wortes: "infizieren")
Daher ist "Löschen" der Malware-Datei nicht die einzige Option. Viele AVs bieten die Möglichkeit, die infizierten Dateien zu "bereinigen". (Entfernen Sie den Virenteil aus ansonsten normalen Programmdateien. Lassen Sie das normale Programm dort, wo es ist.)
"Ausbreitung der Infektion" würde dann nicht auf "Ausführen der Malware" (sichtbarer Prozess .exe) beruhen - sondern auf dem Ausführen eines "normalen Programms" (Word, Excel). (oder öffnen Sie ein normales Dokument mit diesen)
Das Verschieben der "normalen, aber infizierten" Programmdatei in eine Quarantäne ist ein erster Schritt, um die Ausbreitung der Infektion zu stoppen . Dort ist es weniger wahrscheinlich, dass es während des täglichen Betriebs kontinuierlich ausgeführt wird.
In der Quarantäne stehen Ihnen Optionen vor dem Löschen zur Verfügung. Im Falle der "Reinigung" fehlgeschlagen. Falls Sie woanders ein "besseres Werkzeug" haben. Oder falls Sie immer noch alle infizierten Dateien benötigen. (zur Analyse, Datenwiederherstellung)
Manchmal betrachten Antivirenprogramme Ihre wichtigen Dateien als bösartig. Statt sie automatisch zu löschen, werden sie unter Quarantäne gestellt, wenn sie nicht ausgeführt werden können oder nicht auf Ihre Dateien zugreifen können, und Sie werden über ihre Aktionen informiert.
docx
in der polnischen Version von Word erstellten Dateien als bösartig zu erkennen. Ich benutze ClamWin selbst nicht, aber ich schätze, diejenigen, die es tun, waren dankbar für die Quarantäne.