Pourquoi un logiciel anti-virus ne supprime-t-il pas complètement les virus, les logiciels malveillants, etc., mais les met en quarantaine? Ne vaut-il pas mieux s'en débarrasser complètement? Pourquoi? Et comment puis-je les supprimer manuellement?
Pourquoi un logiciel anti-virus ne supprime-t-il pas complètement les virus, les logiciels malveillants, etc., mais les met en quarantaine? Ne vaut-il pas mieux s'en débarrasser complètement? Pourquoi? Et comment puis-je les supprimer manuellement?
Réponses:
Les virus et les malwares ne sont pas dangereux s'ils ne sont pas exécutés.
Un fichier en quarantaine ne peut pas être exécuté par l'utilisateur et le code malveillant (virus ou programme malveillant ) n'a aucune possibilité d'agir. Si le virus / programme malveillant est amovible, il sera immédiatement supprimé.
Sinon, le fichier sera placé en quarantaine.
Il y a différentes raisons à cela:
Possibilité d' étudier le virus par la société antivirus ou d'individualiser un autre ordinateur avec l'infection (supposons qu'un fichier soit attaqué par un virus. Sa signature md5sum
change , vous avez le même fichier sur de nombreux ordinateurs. Si la signature est la même devinez qu'ils sont attaqués. Si vous archivez vos sauvegardes, vous pourrez trouver la première fois que le virus a agi).
Note: Historiquement, la "quarantaine" était une période d'isolement de 40 jours pour les navires et les personnes avant d'entrer dans la ville afin d'empêcher la diffusion de la peste noire de voir si le virus se développait ou non. Sur nos ordinateurs, la quarantaine n’est qu’un endroit sûr pour garder inactifs les fichiers suspects, sans observer aucune action du virus.
En quarantaine, même un fichier exécutable modifié peut se retrouver.
Imaginez que vous avez un programme que vous recompilez ou un programme open source qui n'est pas mis à jour de manière habituelle sous Windows: l'antivirus peut remarquer des activités (écriture) sur un exe
fichier à découper et le mettre en quarantaine.
De plus, étant donné que certains fichiers ont un contenu actif (comme, par exemple, une macro Word ou eXcel ...), certains antivirus peuvent détecter les différences dans les parties exécutables et interpréter celles produites par l’action d’un virus.
Si vous avez la même version d' un fichier attaqué par un virus de différentes manières , il peut être (théoriquement) possible de récupérer le fichier en croisant et en analysant les données de ces versions.
Explication supplémentaire
Pensez comme un virus et un antivirus pour comprendre pourquoi la quarantaine existe, pourquoi il peut y avoir des faux positifs et pourquoi il s’agit d’une bataille qui se poursuit chaque jour.
Un virus (ou un malware ) est un code compilé qui exécute le but de ce qui a été programmé.
En tant que code compilé, il s'agit d'un fichier binaire (généralement) et non de texte (comme ce que vous lisez). Il doit se propager et exécuter certains devoirs (une mission, techniquement une charge utile ), mais pas nécessairement au même moment (cela augmente la possibilité de propagation de l'infection avant qu'elle ne soit détectée).
Comment un virus peut-il se propager et être exécuté?
Il suffit peut remplacer une partie du code d' origine ( exe
, dll
, com
... des fichiers) et de mettre son code à la place.
Exemple d'un ancien virus DOS qui agit dans un tel mode .
L'inconvénient est que le programme d'origine peut cesser de fonctionner et que le virus peut être détecté plus rapidement (par exemple: "... bonjour mon programme ne fonctionne pas ... d'étranges choses se produisent ... pouvez-vous m'aider? - Oui, monsieur, vous avez virus " ).
Il peut copier la partie initiale du fichier à infecter à la fin, après avoir pu se mettre à la place de la première partie. Ainsi, lorsque vous exécutez le programme, le virus est d'abord exécuté, puis le programme est exécuté ... Une variante plus intelligente consiste à se copier à la fin du fichier et à mettre un saut à la fin au début du fichier ( et un retour à son début à la fin) ... L'inconvénient est qu'un antivirus peut rechercher le code du virus (une fois connu) et le trouver facilement. Cela s'est passé dans le cascade virus dans les années 80-90 ...
Il peut être composé de parties et il ( notez pas cela ) peut changer de forme et se cacher dans différentes parties du programme, les déplacer, les chiffrer et les brouiller. À chaque fois, il peut infecter un nouveau fichier de manière différente. Par conséquent, l'antivirus ne peut trouver que des traces d'empreintes digitales - il est chaque jour plus difficile à identifier.
Maintenant, vous souvenez-vous que le virus est (généralement) du code binaire? Eh bien, les empreintes digitales sont aussi.
Puisqu'ils ne constituent pas le virus complet mais seulement quelques octets, il peut arriver qu'une partie d'un fichier compressé, d'un fichier de données ou d'une image possède les mêmes octets que l'une des nombreuses empreintes de virus connues - d'où le faux positif.
Remarque concluante: tous les virus ne sont pas conçus pour causer des dommages, mais la plupart le font de facto .
Avec l'utilisation réelle d'ordinateurs avec des comptes bancaires et des factures à payer, cela ne semble plus aussi amusant que les images ci-dessus.
Les applications anti-programmes malveillants fournissent une option de quarantaine, qui est souvent activée par défaut pour deux raisons:
Pour la même raison, la plupart des gouvernements arrêtent des criminels présumés au lieu de les abattre dans la rue à la moindre provocation:
Vous voulez donner au suspect une chance de se défendre, au cas où il n'aurait commis aucun crime. Et, même s'ils ont commis un crime, vous voulez probablement tout savoir à ce sujet.
Les virus (par exemple) ne sont pas nécessairement un fichier binaire "autonome" (.exe). Traditionnellement, beaucoup d’entre eux "s’attachent" à (beaucoup) des exécutables normaux. (d'où le choix du mot: "infecter")
Par conséquent, la "suppression" du fichier malveillant n'est pas la seule option. De nombreux véhicules audiovisuels offrent la possibilité de "nettoyer" les fichiers infectés. (Supprimez la partie virus des fichiers de programme normaux. Laissez le programme normal à l’endroit.)
"La propagation de l'infection" ne serait alors pas basée sur "l'exécution du logiciel malveillant" (processus visible .exe) - mais sur l'exécution d' un "programme normal" (Word, Excel). (ou ouvrez un document normal avec ceux-ci)
Déplacer le fichier de programme "normal mais infecté" vers un emplacement de quarantaine est la première étape pour arrêter la propagation de l'infection. Là, il est moins susceptible d’être exécuté en continu au cours de chaque opération quotidienne.
La quarantaine vous donne des options avant la suppression. Dans le cas où le "nettoyage" a échoué. Au cas où vous auriez un "meilleur outil" ailleurs. Ou au cas où vous auriez toujours besoin de tous ces fichiers infectés. (pour analyse, récupération de données)
Parfois, des antivirus peuvent considérer vos fichiers importants comme malveillants. Au lieu de les supprimer automatiquement, ils sont mis en quarantaine là où ils ne peuvent pas exécuter ou accéder à vos fichiers et vous avertissent de ses actions.
docx
comme malveillants tous les fichiers créés dans la version polonaise de Word. Je n'utilise pas ClamWin moi-même, mais je suppose que ceux qui l'ont fait étaient reconnaissants d'avoir la quarantaine.