Pourquoi les logiciels antivirus ne suppriment-ils pas complètement les virus, les logiciels malveillants, etc., mais les mettent en quarantaine ? N'est-il pas préférable de s'en débarrasser complètement ? Pourquoi ? Et comment puis-je les supprimer manuellement ?
Réponses
Trop de publicités?
Virus et malwares ne sont pas dangereuses si elles ne sont pas exécutées.
Un fichier en quarantaine ne peut pas être exécuté par l'utilisateur et le code malveillant (virus ou virus de la grippe) ne peut pas être exécuté. logiciels malveillants ) n'a pas la possibilité d'agir. Si le virus/malware est amovible, il sera supprimé immédiatement.
Sinon, le fichier sera mis en quarantaine.
Il existe différents raisons pour ça :
-
Faux positif (comme souligné par d'autres réponses également, voir ci-dessous dans Explication complémentaire ).
-
Possibilité future de récupérer le fichier (le virus ajoute son code à l'intérieur du fichier original et déplace/crypte/cache une partie du code original quelque part. Actuellement, il n'est pas possible de récupérer le fichier, mais peut-être que dans un avenir proche, cela sera possible).
En effet, si le fichier est unique (par exemple, un fichier créé par le propriétaire de l'ordinateur) et qu'il est d'une manière ou d'une autre précieux l'utilisateur peut trouver un moyen de récupérer toutes les parties qu'il est encore possible de récupérer. Une partie d'une thèse (ou d'une image) est toujours mieux que rien. -
Possibilité de étudier le virus par l'entreprise antivirus ou pour individualiser un autre ordinateur avec l'infection (imaginons que vous ayez un fichier attaqué par un virus. Sa signature,
md5sumchangements. Vous avez le même fichier sur plusieurs ordinateurs. Si la signature est la même, vous pouvez deviner qu'ils ont été attaqués. Si vous vérifiez dans vos sauvegardes, vous pouvez trouver la première fois que le virus a agi.)
Remarque : historiquement, le <a href="http://en.wikipedia.org/wiki/Quarantine#History"><em>"quarantenaire" </em></a>était une période d'isolement de 40 jours pour les navires et les personnes avant d'entrer dans la ville afin d'empêcher la diffusion de la peste noire, pour voir si le virus se développe ou non. Sur nos ordinateurs, la quarantaine est juste un endroit sûr où l'on garde inactifs les fichiers suspects, sans observer les actions du virus. -
Dans la quarantaine peut finir même un fichier exécutable qui est modifié.
Imaginez que vous ayez un programme que vous recompilez ou un programme open source qui n'est pas mis à jour par les moyens habituels de Windows : l'antivirus peut remarquer des activités (écriture) sur un fichier de typeexe-et le mettre en quarantaine.
De plus, comme il existe des fichiers avec contenu actif (comme, par exemple, une macro Word ou eXcel...) certains antivirus peuvent repérer les différences dans les parties exécutables et les interpréter comme produites par l'action d'un virus. -
Si vous avez la même version de un fichier attaqué par un virus de différentes manières il peut être (théoriquement) possible de récupérer le fichier en croisant et en analysant les données de ces versions.
Explication complémentaire
Pensez comme un virus et un antivirus pour comprendre pourquoi la quarantaine existe, pourquoi il peut y avoir des faux positifs et pourquoi c'est une bataille qui se poursuit chaque jour.
Un virus (ou une logiciels malveillants ) est un code compilé qui exécute le but pour lequel il a été programmé.
En tant que code compilé, c'est binaire (généralement) et non du texte (comme ce que vous lisez). Il doit propager lui-même et d'exécuter des devoirs (une mission, techniquement une charge utile ), pas nécessairement en même temps (ce qui augmente la possibilité de propager l'infection avant qu'elle ne soit détectée).
Comment un virus peut-il se propager et être exécuté ?
-
Il peut simplement écraser une partie du code original (
exe,dll,com... fichiers) et mettre son code à la place.![DOS virus]()
Exemple d'un anciennement Un virus DOS qui agit dans un tel mode .
L'inconvénient est que le programme d'origine peut cesser de fonctionner et que le virus peut être détecté plus rapidement (ex : "...bonjour mon programme ne fonctionne pas... des choses étranges se produisent... pouvez-vous m'aider ? - Oui monsieur vous avez un virus" ). -
Il peut copier la partie initiale de fichier à infecter à sa fin, après qu'il puisse se mettre à la place de la première partie. Ainsi, lorsque vous exécutez le programme, le virus est d'abord exécuté et seulement ensuite le programme est exécuté... Une variante plus intelligente consiste à se copier à la fin du fichier et à placer un saut vers la fin au début du fichier (et un autre vers son début à sa fin)... L'inconvénient est qu'un antivirus peut rechercher le code du virus (une fois connu) et le trouver facilement. C'est ce qui s'est passé dans le cas du Le virus de la Cascade dans les années 80-90...
![Cascade virus]()
-
Il peut être constitué de pièces et il ( ne le note pas ) peut modifier son forme et se cacher dans différentes parties du programme, les déplacer, les crypter et les brouiller. Chaque fois, il peut infecter un nouveau fichier d'une manière différente. Par conséquent, l'antivirus ne peut trouver des restes que dans les empreintes digitales - chaque jour, il est plus difficile à identifier.
Maintenant, vous vous souvenez que le virus est (généralement) un code binaire ? Eh bien, les empreintes digitales le sont aussi.
Comme il ne s'agit pas de l'intégralité du virus mais de quelques octets seulement, il peut arriver qu'une partie d'un fichier compressé, d'un fichier de données ou d'une image comporte les mêmes octets que l'une des nombreuses empreintes digitales de virus connus - d'où le faux positif.
Note conclusive : Tous les virus n'ont pas été conçus pour causer des dommages, mais la plupart d'entre eux le font, de facto .
Avec l'utilisation réelle d'ordinateurs avec des comptes bancaires et des factures à payer, cela ne semble plus aussi drôle que les images ci-dessus.
Julie Pelletier
Points
2144
Les applications anti-malware proposent une option de quarantaine, qui est souvent activée par défaut pour deux raisons :
- Conservez une sauvegarde des éléments identifiés comme menaçants en cas de faux positif. Bien que cela ne soit pas très courant, j'ai vu des cas de faux positifs sur de nombreux fichiers d'applications et pilotes légitimes différents.
- La mise en quarantaine de l'objet peut permettre de mieux l'examiner. Le fait qu'il corresponde à la signature d'un logiciel malveillant ne signifie pas qu'il est simplement similaire, mais qu'il peut en fait présenter d'autres particularités.
Simon Meusel
Points
116
Les virus (par exemple) ne sont pas nécessairement des binaires "autonomes" (.exe). Traditionnellement, beaucoup d'entre eux se "fixent" à des exécutables normaux (nombreux). (d'où le choix du mot : "infecter")
La "suppression" du fichier malveillant n'est donc pas la seule option. De nombreux antivirus offrent la possibilité de "nettoyer" les fichiers infectés. (supprimer la partie virale des fichiers du programme normal. laisser le programme normal là où il est).
La "propagation de l'infection" ne serait donc pas basée sur "l'exécution du logiciel malveillant" (processus visible .exe), mais sur l'exécution de l'infection. tout "programme normal" (Word, Excel). (ou ouvrez un document normal avec ceux-ci)
Déplacer le fichier du programme "normal mais infecté" vers un emplacement de quarantaine est une première étape pour stopper l'infection. propagation l'infection. Il y a moins de chances qu'elle soit exécutée en permanence au cours des opérations quotidiennes.
La quarantaine vous donne des options, avant la suppression. Au cas où le "nettoyage" aurait échoué. Au cas où vous auriez un "meilleur outil" ailleurs. Ou au cas où vous auriez encore besoin de tous ces fichiers infectés. (pour analyse, récupération de données)
user615537
Points
11
