Il malware può essere pericoloso anche se messo in quarantena?

No

La quarantena non è altro che un luogo in cui archiviare i file infetti / sospetti. Quando si mette in quarantena un file, questo viene eliminato dal luogo effettivo e spostato nella posizione di quarantena (nel percorso che il programma antivirus ha per loro).

Questo è qualcosa come mantenere uno zombi all'interno di un carcere . Ovviamente non è una minaccia finché non apri la gabbia.

Nella maggior parte dei programmi antivirus, i file di quarantena sono memorizzati in formati binari interni . Poiché non esiste alcuna connessione fisica tra il file infector e il tuo sistema (il tuo programma antivirus funziona anche come formato di archiviazione), non è pericoloso.

Analisi:

Per quanto riguarda l'analisi di un file infetto, sì, non è possibile dopo la quarantena. Se vuoi farlo, prova a disinfettarlo o ripristinarlo nella sua posizione originale (devi disabilitare il tuo programma antivirus per farlo e questo è il posto dove stai aprendo la gabbia ) e quindi analizzarlo. Ma ricorda che lo zombi potrebbe mangiarti ( se non sei bravo con i fucili da caccia )! Quindi è a tuo rischio.

Perché non inviare semplicemente i file infetti / sospetti al team del programma antivirus? Potrebbero darti un'immagine migliore dopo averli controllati con le loro firme dei virus aggiornate.

Bottom line : un file in quarantena non è pericoloso. Ma analizzarli da soli potrebbe essere.

Penso che il vero punto di vista degli autori non sia la sicurezza di un file una volta messo in quarantena, ma piuttosto cosa succede se l'utente dice "no"? Il sistema lo lascia dove è - potenzialmente un grande rischio, o lo cancella - potenzialmente un grande rischio. Senza sapere quale azione verrà intrapresa se non si mette in quarantena, o in effetti senza spiegare cosa significa quarantena, l'utente deve rispondere a una domanda a cui deve rispondere per poter avanzare. Tuttavia non hanno le informazioni necessarie per prendere una decisione informata. Cosa succede ... tirano i dadi e indovina.

Quindi agli utenti viene posta una domanda piuttosto difficile: vuoi questo file o vuoi essere sicuro? Non si tratta nemmeno di decisioni informate, qui ... Gli utenti non hanno una laurea in informatica e attualmente non hanno gli strumenti per rimanere al sicuro.

Gli utenti non hanno tempo e sforzi da sprecare per prendere decisioni informate. Questo punto è stato discusso su e oltre di nuovo . Se il file non è sicuro, dovrebbe essere messo automaticamente in quarantena e un'opzione per "Recuperare il malware" fornita, invece di dover sprecare tempo a pensarci oa risparmiare tempo e prendere una decisione quasi casuale.

Esiste un esempio molto simile: in che modo il team di sicurezza di Google Chrome ha ridefinito l'esperienza utente degli avvisi di ripristino malware di Chrome. Hanno reso più difficile all'utente fare la cosa pericolosa, aumentando i costi di interazione e aumentando la sensazione di fare qualcosa di pericoloso.

What are the dangers of sending a file to quarantine?

C'è una leggera possibilità che lo scanner malware tagga erroneamente un file di sistema valido come infetto. L'invio del file in quarantena potrebbe rendere inutilizzabile il sistema fino al ripristino del file. Ciò è accaduto occasionalmente con alcuni dei principali fornitori di antivirus per una specifica versione di definizioni. Benché rapidamente adattati, le azioni predefinite hanno reso i sistemi non avviabili.

L'idea di avere l'opzione "quarantena" quando un antivirus rileva un file infetto è di evitare i falsi positivi . Se per caso il software antivirus contrassegna erroneamente un file come "non valido" quando il file è effettivamente qualcosa di cui hai bisogno, come un programma critico (ad esempio Explorer.exe in Windows) in modo che l'eliminazione possa causare il blocco del computer, la quarantena consente per ripristinarlo semplicemente.

Qualunque cosa in quarantena è segregata in modo sicuro dal resto del tuo computer , non può essere eseguita da lì, quindi non può fare danni. Quindi il consiglio generale è di mettere i file infetti in quarantena per un po 'di tempo durante le normali attività del computer. Se tutto continua a funzionare correttamente dopo un periodo di tempo ragionevole (ad esempio, circa una settimana o due), elimina definitivamente i file in quarantena.

Il file identificato da Anti Virus S / W come contenente malware viene spostato in una cartella in cui Windows normalmente non viene visualizzato. Il file può anche essere rinominato dal S / W Anti Virus che impedisce a Windows di eseguire il file, e rendendo ovvio dal suo nome che il file è in quarantena.

I malware possono tornare al sistema dalla quarantena se :

Il malware è esplicitamente, ripristinato manualmente dall'utente al di fuori del software anti-malware. Questo generalmente non accade per caso.

Il software anti-malware stesso è stato accidentalmente istruito a farlo - la maggior parte ha una funzione di "ripristino", ed è possibile che io lo faccia scattare per sbaglio.

Sono d'accordo con il resto dei post dicendo che un malware non è pericoloso se messo in quarantena e se rimane nella quarantena.

Ma mi piacerebbe aggiungere un qualificatore - questo è vero solo se il software funziona come previsto .

Il software antivirus, proprio come qualsiasi altro software là fuori, in particolare software che ha un sacco di codice per analizzare i dati non attendibili è destinato ad avere bug in qualche parte. Ci sono stati un sacco di casi di vulnerabilità della sicurezza nel software antivirus stesso , a volte anche creando vettori di infezione in cui altrimenti non esisterebbero.

Questo mi fa meraviglia - a un certo livello il malware deve essere "neutralizzato" prima di essere messo in quarantena, magari facendo qualcosa ai dati del virus. Il bug di LZO ci ha detto che i difetti sottili negli algoritmi possono esistere per molto tempo ed essere ampiamente utilizzati.

Immaginiamo per un momento che il bug LZO recentemente scoperto possa essere attivato da una compressione piuttosto che da una decompressione. (Il che non è il caso, ma chissà quali bug si nascondono?) E immaginiamo inoltre che un ipotetico prodotto antivirus utilizzi LZO per comprimere il malware come un passaggio per contenerlo.

Immaginiamo inoltre un avversario che crea un malware che viene rilevato come malware (abbastanza facile da fare, basta includere la stringa EICAR in esso) e quando messo in quarantena causa l'esecuzione di codice in modalità remota nel contesto di il processo antivirus!

Sono sicuro che puoi immaginare molte varianti su questo tema.

Quindi, risposta breve, sì, il malware è innocuo una volta messo in quarantena.

Risposta lunga, è possibile immaginare circostanze in cui un errore di sicurezza nel processo di quarantena stesso nel malware provocherebbe che un malware sia in grado di infettare il proprio specifico dal computer attraverso la funzione di quarantena. Ma non ho mai sentito di questo evento.