¿Por qué el software antivirus no elimina completamente los virus, el malware, etc., sino que los pone en cuarentena? ¿No es mejor deshacerse de ellos por completo? ¿Por qué? ¿Y cómo puedo eliminarlos manualmente?
¿Por qué el software antivirus no elimina completamente los virus, el malware, etc., sino que los pone en cuarentena? ¿No es mejor deshacerse de ellos por completo? ¿Por qué? ¿Y cómo puedo eliminarlos manualmente?
Respuestas:
Los virus y malwares no son peligrosos si no se ejecutan.
El usuario no puede ejecutar un archivo en cuarentena y el código malicioso (virus o malware ) no tiene posibilidad de actuar. Si el virus / malware se puede eliminar, se eliminará de inmediato.
Si no, el archivo se moverá a cuarentena.
Hay diferentes razones para esto:
Posibilidad de estudiar el virus por la compañía antivirus o de individualizar otra computadora con la infección (imaginemos que tiene un archivo atacado por un virus. Su firma, md5sum
cambios. Tiene el mismo archivo en muchas computadoras. Si la firma es la misma, usted puede adivinar que son atacados. Si revisa sus copias de seguridad, puede encontrar la primera vez que actuó el virus).
Nota: históricamente, la "quarantena" fue un período de aislamiento de 40 días para los barcos y las personas antes de ingresar a la ciudad para evitar la difusión de la Peste Negra, para ver si el virus se desarrolla o no. En nuestras computadoras, la cuarentena es solo un lugar seguro para mantener inactivos los archivos sospechosos, sin observar ninguna acción del virus.
En la cuarentena puede terminar incluso un archivo ejecutable que se modifica.
Imagine que tiene un programa que vuelve a compilar o un programa de código abierto que no se actualiza a través de las formas habituales de Windows: el antivirus puede notar actividades (escritura) en un exe
archivo -cutable y ponerlo en cuarentena.
Además, dado que hay algunos archivos con contenido activo (como, por ejemplo, Word o macro eXcel ...), algunos antivirus pueden detectar diferencias en las partes ejecutables e interpretarlas como producidas por la acción de un virus.
Si tiene la misma versión de un archivo atacado por un virus de diferentes maneras , puede ser (teóricamente) posible recuperar el archivo cruzando y analizando los datos de estas versiones.
Explicación adicional
Piense como un virus y un antivirus para comprender por qué existe la cuarentena, por qué puede haber falsos positivos y por qué esta es una batalla que continúa cada día.
Un virus (o un malware ) es un código compilado que ejecuta el propósito para lo que fue programado.
Como código compilado, es binario (generalmente) y no texto (como lo que está leyendo). Tiene que propagarse y ejecutar algunos deberes (una misión, técnicamente una carga útil ), no necesariamente al mismo tiempo (esto aumenta la posibilidad de propagar la infección antes de que se detecte).
¿Cómo puede un virus propagarse y ejecutarse?
Simplemente se puede sobrescribir una parte del código original ( exe
, dll
, com
... archivos) y poner su código en su lugar.
Ejemplo de un antiguo virus DOS que actúa en tal modo .
El inconveniente es que el programa original puede dejar de funcionar y el virus puede detectarse más rápido (por ejemplo: "... hola, mi programa no funciona ... suceden cosas extrañas ... ¿puede ayudarme? - Sí señor, tiene un virus " ).
Puede copiar la parte inicial del archivo que se infectará al final, después de que pueda colocarse en lugar de la primera parte. Entonces, cuando ejecuta el programa, el virus se ejecuta primero y solo luego se ejecuta el programa ... Una variante más inteligente es copiarse al final del archivo y poner un salto al final al comienzo del archivo ( y uno vuelve a su principio al final) ... El inconveniente es que un antivirus puede buscar el código del virus (una vez conocido) y encontrarlo fácilmente. Esto sucedió en el virus Cascade en los años 80-90 ...
Puede estar hecho de partes y él ( tenga en cuenta que no ) puede cambiar su forma y esconderse en diferentes partes del programa, moverlas, cifrarlas y codificarlas. Cada vez puede infectar un nuevo archivo de una manera diferente. Por lo tanto, el antivirus solo puede encontrar restos en las huellas digitales, cada día es más difícil de identificar.
Ahora, ¿recuerdas que el virus es (generalmente) código binario? Bueno, las huellas digitales también lo son.
Dado que no son el virus completo sino solo unos pocos bytes, puede suceder que una parte de un archivo comprimido, un archivo de datos o una imagen tenga los mismos bytes de una de las muchas huellas dactilares de virus conocidas, de ahí el falso positivo.
Nota concluyente: no todos los virus fueron planeados para dañar, pero la mayoría de ellos lo hacen, de facto .
Con el uso real de computadoras con cuentas bancarias y cuentas por pagar, ya no parece tan divertido como las imágenes de arriba.
Las aplicaciones antimalware proporcionan una opción de cuarentena, que a menudo está activada de manera predeterminada por dos razones:
Por la misma razón que (la mayoría) de los gobiernos arrestan a presuntos delincuentes en lugar de dispararles en la calle a la menor provocación:
Desea darle al sospechoso la oportunidad de defenderse, en caso de que en realidad no haya cometido ningún delito. E, incluso si cometieron un delito, es probable que desee averiguar todo al respecto.
Los virus (por ejemplo) no son necesariamente un binario "independiente" (.exe). Tradicionalmente, muchos de ellos se "unen" a (muchos) ejecutables normales. (de ahí la elección de la palabra: "infectar")
Por lo tanto, la "eliminación" del archivo de malware no es la única opción. Muchos AV ofrecen la opción de "limpiar" los archivos infectados. (elimine la parte del virus de los archivos de programa normales. Deje el programa normal donde está)
"Difundir la infección" no se basaría en "ejecutar el malware" (proceso visible .exe), sino en ejecutar cualquier "programa normal" (Word, Excel). (o abra un documento normal con esos)
Mover el archivo de programa "normal pero infectado" a una ubicación de cuarentena es un primer paso para detener la propagación de la infección. Allí, es menos probable que se ejecute continuamente durante la operación diaria.
La cuarentena le brinda opciones, antes de eliminarla. En caso de que la "limpieza" fallara. En caso de que tenga una "mejor herramienta" en otro lugar. O en caso de que aún necesite todos esos archivos infectados. (para análisis, recuperación de datos)
Solo que a veces los antivirus pueden considerar sus archivos importantes como maliciosos y, en lugar de eliminarlos automáticamente, los pone en cuarentena donde no pueden ejecutar o acceder a sus archivos y le notifica sus acciones.
docx
archivos creados en la versión polaca de Word como maliciosos. Yo no uso ClamWin, pero supongo que aquellos que lo hicieron estaban agradecidos por tener cuarentena.