Les logiciels malveillants peuvent-ils être dangereux même lorsqu'ils sont mis en quarantaine?
Je lis un livre sur la sécurité des réseaux et quand il parle de confusion des utilisateurs, il écrit:
"Il n'est pas rare qu'un utilisateur se pose des questions de sécurité telles que Est-il sûr de mettre cette pièce en quarantaine en sécurité? Avec peu ou pas d'instructions, les utilisateurs sont enclins à répondre aux questions sans comprendre les risques de sécurité. "
Quelqu'un pourrait-il me dire, utilisateur confus, quels sont les dangers de la mise en quarantaine d'une pièce jointe? Ma compréhension est qu'un fichier en quarantaine ne peut en aucun cas interagir avec le système d'exploitation, ce n'est donc pas un risque pour la sécurité, mais nous ne pouvons pas non plus l'analyser pour voir s'il s'agit d'un virus.
Non
La quarantaine n'est rien d'autre qu'un endroit pour stocker les fichiers infectés/suspects. Lorsque vous mettez un fichier en quarantaine, il est supprimé de l'emplacement réel et déplacé vers l'emplacement de quarantaine (vers le chemin d'accès que votre programme antivirus a pour lui).
C'est quelque chose comme garder un zombie dans une prison. Évidemment, ce n'est pas une menace tant que vous n'ouvrez pas la cage.
Dans la plupart des programmes antivirus, les fichiers de quarantaine sont stockés dans formats binaires internes. Puisqu'il n'y a pas de connexion physique entre le fichier infecteur et votre système (votre programme antivirus fonctionne car le format de stockage est également un point positif), il n'est pas dangereux.
Analyse:
Concernant l'analyse d'un fichier infecté, oui ce n'est pas possible après la quarantaine. Si vous voulez le faire, essayez de le désinfecter ou de le restaurer à son emplacement d'origine (vous devez désactiver votre programme antivirus pour ce faire et c'est l'endroit où vous êtes - ouverture de la cage) puis analysez-la. Mais rappelez-vous que le zombie pourrait vous dévorer ( à moins que vous ne soyez bon avec les fusils de chasse )! C'est donc à vos risques et périls.
Pourquoi ne pas simplement envoyer les fichiers infectés/suspects à l'équipe du programme antivirus? Ils pourraient vous donner une meilleure image après l'avoir inspecté avec leurs signatures de virus mises à jour.
Conclusion: Un fichier en quarantaine n'est pas dangereux. Mais les analyser vous-même pourrait l'être.
Je pense que le point réel des auteurs n'est pas la sécurité d'un fichier une fois mis en quarantaine mais plutôt ce qui se passe si l'utilisateur dit "non"? Le système le laisse-t-il là - un risque potentiellement grand, ou l'efface-t-il - un risque potentiellement grand. Sans savoir quelles mesures seront prises si vous ne mettez pas en quarantaine, ou même sans expliquer ce que signifie la quarantaine, l'utilisateur est confronté à une question à laquelle il doit répondre pour progresser. Cependant, ils ne disposent pas des informations nécessaires pour prendre une décision éclairée. Qu'est-ce qui se passe ... ils lancent les dés et devinent.
Ainsi, les utilisateurs se posent une question assez difficile: voulez-vous ce fichier ou voulez-vous être en sécurité? Ce n'est même pas une question de décisions éclairées, ici ... Les utilisateurs n'ont pas de diplôme en informatique et n'ont actuellement pas les outils pour rester en sécurité.
Les utilisateurs n'ont pas de temps et d'efforts à perdre pour des décisions éclairées. Ce point a été débattu terminéetterminéà nouvea . Si le fichier n'est pas sûr, il doit être mis en quarantaine automatiquement, et une option pour "récupérer le logiciel malveillant" doit être fournie, au lieu que l'utilisateur n'ait à y perdre son temps à y penser ou à gagner du temps et à prendre une décision quasi aléatoire.
Il existe un exemple très similaire: comment l'équipe de sécurité de Google Chrome Chrome a redéfini l'expérience utilisateur de Chrome avertissements de récupération de logiciels malveillants. Ils ont rendu plus difficile la tâche de l'utilisateur) la chose dangereuse, en augmentant le coût d'interaction et en augmentant le sentiment de faire quelque chose de dangereux.
Quels sont les dangers de l'envoi d'un fichier en quarantaine?
Il est possible que l'analyseur de logiciels malveillants marque à tort un fichier système valide comme infecté. L'envoi de ce fichier en quarantaine pourrait rendre votre système inutilisable jusqu'à ce que le fichier soit restauré. Cela s'est produit à l'occasion avec certains grands fournisseurs d'antivirus pour une version spécifique des définitions. Bien que rapidement ajustées, les actions par défaut avaient rendu les systèmes non amorçables.
L'idée d'avoir l'option "quarantaine" lorsqu'un antivirus détecte un fichier infecté c'est pour éviter les faux positifs. Si, par hasard, le logiciel antivirus signale à tort un fichier comme "mauvais" alors que le fichier est en fait quelque chose dont vous avez besoin, comme un programme critique (par exemple Explorer.exe dans Windows), de sorte que sa suppression pourrait entraîner l'arrêt de l'ordinateur, la quarantaine permet pour simplement le restaurer.
Tout ce qui est en quarantaine est séparé en toute sécurité du reste de votre ordinateur, il ne peut pas fonctionner à partir de là, il ne peut donc pas nuire. Donc, le conseil général est de mettre les fichiers infectés en quarantaine pendant un certain temps pendant vos activités informatiques normales. Si tout continue à fonctionner correctement après une période de temps raisonnable (disons, environ une semaine ou deux), supprimez définitivement les fichiers en quarantaine.
Le fichier identifié par Anti Virus S/W comme contenant des logiciels malveillants est déplacé vers un dossier dans lequel Windows ne devrait normalement pas regarder. Le fichier peut également être renommé par Anti Virus S/W empêchant Windows d'exécuter le fichier et indiquant clairement par son nom que le fichier est en quarantaine.
Les logiciels malveillants peuvent retourner au système à partir de la quarantaine si:
Le Malware est explicitement et manuellement restauré par l'utilisateur en dehors du logiciel anti-malware. Cela ne se produit généralement pas par accident.
Le logiciel anti-malware lui-même a été accidentellement chargé de le faire - la plupart ont une fonction de "restauration", et il est possible, je suppose, de déclencher cela par accident.
Je suis d'accord avec le reste des articles disant qu'un malware n'est pas dangereux s'il est mis en quarantaine et s'il reste en quarantaine.
Mais je voudrais ajouter un qualificatif - ce n'est vrai que si le logiciel fonctionne comme prév.
Un logiciel antivirus, comme tout autre logiciel, en particulier un logiciel qui contient beaucoup de code pour analyser des données non fiables est susceptible de contenir des bogues quelque part. Il y a eu de nombreux cas de failles de sécurité dans le logiciel antivirus lui-même , créant parfois même des vecteurs d'infection là où ils n'existeraient pas autrement.
Cela me fait me demander - à un certain niveau, le malware doit être "neutralisé" avant d'être mis en quarantaine, peut-être en faisant quelque chose aux données du virus. Le bug LZO nous a dit que des défauts subtils dans les algorithmes peuvent exister depuis longtemps et être largement déployés.
Imaginons un instant que le bug LZO récemment découvert puisse être déclenché par la compression plutôt que par la décompression. (Ce qui n'est pas le cas. Mais qui sait quels bogues se cachent?) Et imaginons en outre qu'un produit antivirus hypothétique utilise LZO pour compresser le malware comme une étape pour le contenir.
Imaginons en outre un adversaire créant un logiciel malveillant détecté comme un logiciel malveillant (assez facile à faire, il suffit d'inclure la chaîne EICAR) et lorsqu'il est mis en quarantaine provoque l'exécution de code à distance dans le cadre du processus antivirus!
Je suis sûr que vous pouvez imaginer de nombreuses variations sur ce thème.
Donc, réponse courte, oui, les logiciels malveillants sont inoffensifs une fois mis en quarantaine.
Réponse longue, il est possible d'imaginer des circonstances où un bogue de sécurité dans le processus de mise en quarantaine lui-même dans le logiciel malveillant ferait en sorte qu'un logiciel malveillant puisse infecter votre ordinateur spécifiquement via la fonction de mise en quarantaine. Mais je n'ai jamais entendu parler de cela.