ウイルス対策ソフトウェアがウイルス、マルウェアなどを削除せず、代わりに隔離するのはなぜですか?


124

ウイルス対策ソフトウェアがウイルス、マルウェアなどを完全に削除せず、代わりに隔離するのはなぜですか?それらを完全に取り除くのは良くありませんか?どうして?そして、それらを手動で削除するにはどうすればよいですか?


123
数週間前、ClamWin AV docxはポーランド語版のWordで作成されたすべてのファイルを悪意のあるものとして検出し始めました。私は自分でClamWinを使用していませんが、実際に隔離していることに感謝した人はいると思います。
グローノスタジ

10

5
私が使用したほぼすべてのアンチウイルスプログラムでは、特定の脅威が検出されたときに何が起こるかを選択できます(疑わしいファイルを無視、検疫、または削除するかどうか...)。
ブレークスルー

8
意見に基づいてこの質問を閉じることを求めている人に:意見に基づいていないファイルを検疫に入れる理由があります:誤検知、ファイルを回復する将来の可能性、感染ファイルの部分的な回復、ウイルスを調査する可能性。 。完全に任意ではない場合でも、保持するかどうかを選択することは最終的に個人的である可能性があります:実際にファイルが分散ファイル(プログラム部分)である場合、安全なソースからコピー/ダウンロードして元のファイルを置き換えることができます感染したコピーを保持する必要はありません。代わりに、(ここでは個人的な)私達によって作られたもののためにチャンスありません
ハスター

6
何年も前に、私が言及しない名前のAVパッケージ( Symantec )は、日常的な一晩のスキャン中に何百ものシステムDLLが感染しているとフラグを立てることを決めました。当然、オペレーティングシステムの半分を検疫することは、Windowsの再起動時にうまく行きませんでした。マシンは完全にブロックされており、セーフモードでも起動できませんでした。そのため、HDをマシンから削除し、別のマシンとして2つ目のドライブとして挿入し、DLLを元の場所に戻す必要がありました。これを達成するのに丸一日かかりました。これらのファイルが検疫される代わりに削除された場合にどうなるかを検討してください。
キャリーグレゴリー

回答:


135

ウイルスとマルウェアは、実行されなければ危険ではありません。
隔離されたファイルはユーザーが実行できず、悪意のあるコード(ウイルスまたはマルウェア)が動作する可能性はありません。ウイルス/マルウェアが除去可能な場合、すぐに削除されます。
そうでない場合、ファイルは検疫に移動されます。

これにはさまざまな理由があります。

  • 偽陽性(他の回答でも強調されているように、以下の詳細説明を参照)。
  • ファイルを回復する将来の可能性(ウイルスは元のファイル内にコードを追加し、元のコードの一部をどこかに移動/暗号化/非表示にします。現在、ファイルを回復することはできませんが、近い将来可能になるでしょう)。
    実際、ファイルが一意であり(たとえば、コンピューターの所有者によって作成されたもの)、それが何らかの形で貴重である場合、ユーザーはファイルから回復可能なすべての部分を回復する方法を見つけることができます。論文(または画像)の一部は、何もないよりも常に優れています。
  • ウイルス対策会社によってウイルス調査したり、感染した他のコンピューターを個別化する可能性(ウイルスに攻撃されたファイルがあると想像してください。その署名、md5sum変更。多くのコンピューターに同じファイルがあります。署名が同じ場合バックアップをチェックインすると、ウイルスが初めて行動したときを見つけることができます)。
    注:歴史的に、「検疫」は、黒死病の拡散を防ぎ、ウイルスが発生するかどうかを確認するために、都市に入る前に船と人々を40日間隔離する期間でした。私たちのコンピュータでは、ウイルスの動作を観察することなく、疑わしいファイルを非アクティブに保つための隔離場所が安全な場所にすぎません。

  • 検疫では、変更され実行可能ファイルでさえ終わる可能性があります。
    再コンパイルするプログラム、または通常のWindowsの方法ではなく更新されるオープンソースプログラムがあるとします。ウイルス対策プログラムは、exe-cutableファイルのアクティビティ(書き込み)に気付き、それを検疫に入れることができます。
    さらに、アクティブなコンテンツ(WordやeXcelマクロなど)を含むファイルがあるため、一部のアンチウイルスは実行可能部分の違いを発見し、ウイルスのアクションによって生成されたものとして解釈できます。

  • 同じバージョンのファイルがさまざまな方法ウイルスから攻撃されている場合、これらのバージョンのデータを横断して分析することにより、(理論的に)ファイルを回復することができます。

詳細説明
ウイルスやウイルス対策のように考えて、なぜ隔離が存在するのか、なぜ偽陽性になる可能性があるのか​​、なぜこれが毎日続く戦いなのかを理解してください。

ウイルス(またはマルウェア)は、プログラムの目的を実行するコンパイル済みコードです。
コンパイルされたコードとして、それはバイナリ(通常)であり、テキスト(あなたが読んでいるものとして)ではありません。それはそれ自体を伝播し、いくつかの宿題(ミッション、技術的にはペイロード)を実行する必要があり、必ずしも同時にではありません(これにより、感染が検出される前に広がる可能性が高まります)。

ウイルスはどのようにして増殖し、実行されますか?

  • 単にそれは、元のコード(の一部上書きすることができexedllcom...ファイル)を、代わりにそのコードを置きます。

    DOSウイルス
    そのようなモードで動作する古代の DOSウイルスの例。
    欠点は、元のプログラムが動作を停止し、ウイルスがより速く検出される可能性があることです(例:「...私のプログラムは動作していません...奇妙なことが起こっています...助けていただけますか?-はいウイルス」)。

  • 最初の部分の代わりに自分自身を置くことができた後、感染するファイルの最初の部分をコピーすることができます。したがって、プログラムを実行すると、ウイルスが最初に実行されてから、プログラムが実行されます...よりスマートな亜種は、ファイルの最後に自分自身をコピーし、ファイルの先頭の最後にジャンプすることです(欠点は、ウイルス対策プログラムがウイルスのコードを(一度知っていれば)検索し、簡単に見つけることができることです。これは、80年代から90年代のカスケードウイルスで発生しました...

    カスケードウイルス

  • それは部品でできており、彼はそれではないことに注意して)彼のを変えて、プログラムの異なる部分に隠れ、それらを動かし、暗号化し、スクランブルすることができます。彼は新しいファイルに異なる方法で感染するたびに。そのため、ウイルス対策ソフトウェアは、指紋に残っているものしか見つけられない可能性があります-毎日識別するのが困難です。

さて、あなたはウイルスが(通常)バイナリコードであることを覚えていますか?まあ、指紋もあります。
完全なウイルスではなく、数バイトしかないため、圧縮ファイル、データファイル、または画像の一部に、多くの既知のウイルスフィンガープリントのいずれかと同じバイトが含まれている可能性があります。

結論:すべてのウイルスが損傷することを計画しているわけではありませんが、事実上、ほとんどのウイルスがそれを行っています。
銀行口座と支払い請求書を備えたコンピューターを実際に使用しているため、上記の画像ほど面白いものではないようです。


4
将来的にファイルを復元する可能性があるため、これに+1を付けます -かつてこれはウイルス対策ソフトウェアの標準的な操作方法でした!
ふわふわ

3
@MSalters。いいえ、残念ながら自動修正はありません。私は比ur的に言っていました(または少なくとも私がやろうとしていました):ウイルスはファイルから別のコンピューター(おそらく別のコンピューター...)に広がります。次に、ファイルに格納されます(ホームを見つけます)。それからそれは待ちます...そしてそれはそれが教えられた(プログラムされた)ものを実行します。ここからは「宿題」という用語 を「ミッション」と読むことができますが、より明確なはずですが、ウイルスを兵士として見ているようなものです。ところで、スポットをありがとう、回答が更新されました。
ハスター

41
「彼(ではない)」の部分に興味があります。それはどうだった?
アルファ

3
「検疫では、実行可能ファイルでも終了することができます」というフレーズでは、「終了」という言葉の意味がわかりません。これを明確にできますか?
タナースウェット

4
@Alpha(および他の...)それは個人的なもので、その種のウイルスを「感知」する方法に関連しています。前者は基本的なタスクを盲目的に実行し、どんな種類の輝きも見せませんでした。しかし、その後、彼らは非表示とままに、自分自身を修正するために始めた寝台何とか... --theがするあなたの試みに抵抗して生き残るために何の可能性を持っていなかったことがしやすい変異体は進化し、自分自身を暗号化し、殺すそれらを、外観:私が使用し、「生き残る」&「殺す」 ...暗黙のうちに私は、彼らが生きていたかのように、知能の表現として彼らに尊厳のいくつかの並べ替えを認識するために開始し、そうではない、それ以上、それが、、もしくは彼女あなたが好む場合。
ハスター

89

マルウェア対策アプリケーションは検疫オプションを提供します。これは多くの場合、次の2つの理由でデフォルトでオンになっています。

  1. 誤検知の場合に脅威となると特定されたアイテムのバックアップを保持します。あまり一般的ではありませんが、多くの異なる正当なアプリケーションファイルおよびドライバーで誤検知のケースを見てきました。
  2. アイテムを検疫することで、アイテムをより適切に調査できる場合があります。マルウェアの署名と一致するという事実は、単に類似しているという意味ではありませんが、実際には他の特殊性がある可能性があります。

39
さらに、マルウェアがWord文書などの実際に必要なファイルに埋め込まれている場合、完全に削除することがユーザーの観点からすると最悪の選択肢になる可能性があります。検疫を行うと、少なくともリスクは高くなりますが、コンテンツを取り戻すことができます。
木梅

8
さらに、マルウェア対策ソフトウェアは、分類においてあなたと異なる理解を持っているかもしれません。一部のアンチウイルスソフトウェアはSysAdminツールをマルウェアとして検出することが知られており、特定の企業や学校のコンピューターに接続するときに確認せずにUSB-Stickの半分を削除していることがわかりました。netcat、wiresharkなどは、候補者として知られています。また、修士論文の唯一のコピーをUSB-Stickに保存している人もいます。マルウェア対策スキャナーが誤検知として検出せず、確認せずに削除することを願っています。
H.イデン16

13
あまり一般的ではない?私のアンチウイルスが検出したほとんどすべての検出は誤検知だったと思います。
オリオール

6
@JuliePelletier誤検知の割合は、ユーザーのアクションに大きく影響されます。私は非常に注意しているので、ウイルス、マルウェア、またはそのようなものは決して持っていません。これにより、(すべてではないにしても)ほとんどの検出が誤検知であることが自動的に確認されます。もちろん、アンチウイルスを使用しています:)。
Mixxiphoid

3
@Mokubaiウイルスが正当なファイルにviri署名を追加することで大混乱を引き起こす可能性があるという興味深いアイデアです-avに汚い仕事をさせます。
エモリー

72

(ほとんどの)政府が容疑者を路上でわずかな挑発で射殺するのではなく逮捕するのと同じ理由で:

実際に犯罪を犯していない場合に備えて、容疑者に自分自身を守る機会を与えたいと考えています。そして、たとえ彼らが犯罪を犯したとしても、おそらくそれについてすべてを知りたいと思うでしょう。


38
その類推で、デフォルトで削除するウイルス対策が少なくともあるはずです...
PlasmaHH

5
@ΈρικΚωνσταντόπουλος:なんて馬鹿げた声明。Windows 7も「存在しません」か?
オービットのライトネスレース

9
@ΈρικΚωνσταντόπουλος:人々は長い間Windows 7と8を使用しています。1年前のソフトウェアについては、「存在しない」ものは何もありません。そんなに愚かなことはしないでください!
オービットのライトネスレース

14
@ΈρικΚωνσταντόπουλοςWindows 7は2020年までサポートを延長しました。Windows 8は2023年まで。あなたのポイントを見つけるのに苦労しています。それは何ですか?
軌道の明るさレース

20
@ΈρικΚωνσταντόπουλοςはい、2023年。あなたのポイントは何ですか?
軌道上の明るさレース

1

ウイルス(たとえば)は、必ずしも「スタンドアロン」バイナリ(.exe)ではありません。伝統的に、それらの多くは(多くの)通常の実行可能ファイルに自分自身を「アタッチ」します。(したがって、「感染」という単語の選択)

したがって、マルウェアファイルの「削除」だけがオプションではありません。多くのAVには、感染ファイルを「駆除する」オプションがあります。(通常のプログラムファイルからウイルス部分を削除します。通常のプログラムはそのままにします。)

「感染の拡散」は、「マルウェアの実行」(可視プロセス.exe)ではなく「通常のプログラム」(Word、Excel)の実行に基づいています。(またはそれらで通常の文書を開く)

検疫場所に「正常ではあるが、感染した」プログラムファイルを移動し、停止する最初のステップである拡散感染を。そこでは、毎日の運用中に継続的に実行される可能性が低くなります。

検疫では、削除する前にオプションが提供されます。「クリーニング」が失敗した場合。他の場所に「より良いツール」がある場合。または、これらの感染ファイルがすべて必要な場合に備えて。(分析、データ復旧用)


0

アンチウイルスが重要なファイルを悪意のあるものと見なし、ファイルを自動的に削除する代わりに、ファイルを実行またはアクセスできない場所に隔離し、そのアクションを通知する場合があります。


スーパーユーザーへようこそ!この答えは、スレッドに新しいものを追加しません。回答として何かを投稿する前に、他の回答を読んでください。
rahuldottech
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.