La quarantaine n'est rien d'autre qu'un endroit pour stocker les fichiers infectés / suspects. Lorsque vous mettez un fichier en quarantaine, il est supprimé de l'endroit réel et déplacé vers l'emplacement de quarantaine (vers le chemin que votre programme antivirus a pour eux).

C'est quelque chose comme garder un zombie dans une prison . Évidemment, ce n'est pas une menace tant que vous n'ouvrez pas la cage.

Dans la plupart des programmes antivirus, les fichiers de quarantaine sont stockés dans des formats binaires internes . Comme il n'y a pas de connexion physique entre le fichier infectieux et votre système (votre programme antivirus fonctionne car le format de stockage est également un point positif), ce n'est pas dangereux.

Analyse:

Concernant l'analyse d'un fichier infecté, oui ce n'est pas possible après la mise en quarantaine. Si vous voulez faire cela, vous essayez de le désinfecter ou de le restaurer à son emplacement d'origine (vous devez désactiver votre programme antivirus pour le faire et c'est ici que vous ouvrez la cage ), puis analysez-le. Mais rappelez-vous que le zombie pourrait vous dévorer ( à moins que vous ne soyez doué pour les fusils de chasse )! C'est donc à vos risques et périls.

Pourquoi ne pas simplement envoyer les fichiers infectés / suspects à l'équipe du programme antivirus? Ils pourraient vous donner une meilleure image après l'avoir inspecté avec leurs signatures de virus mises à jour.

Conclusion : un fichier mis en quarantaine n'est pas dangereux. Mais les analyser vous-même pourrait l'être.

Je pense que le point réel des auteurs n'est pas la sécurité d'un fichier une fois mis en quarantaine, mais que se passe-t-il si l'utilisateur dit "non"? Le système le laisse-t-il là où il est - un risque potentiellement important, ou l'efface-t-il - un risque potentiellement important. Sans savoir quelle action sera entreprise si vous ne mettez pas en quarantaine, ou même sans expliquer ce que signifie la quarantaine, l'utilisateur est confronté à une question à laquelle il doit répondre pour progresser. Cependant, ils ne disposent pas des informations nécessaires pour prendre une décision éclairée. Que se passe-t-il ... ils lancent les dés et devinent.

Une question assez difficile est posée aux utilisateurs: voulez-vous ce fichier ou voulez-vous être en sécurité? Ce n'est même pas une question de décisions éclairées, ici ... Les utilisateurs n'ont pas de diplôme en informatique et n'ont actuellement pas les outils pour rester en sécurité.

Les utilisateurs ne l'ont pas du temps et des efforts à perdre pour prendre des décisions éclairées. Ce point a été débattu plus de et plus de à nouveau. Si le fichier n'est pas sûr, il doit être mis en quarantaine automatiquement et une option "Récupérer le malware" doit être fournie, au lieu que l'utilisateur soit obligé de perdre son temps à y réfléchir ou de gagner du temps et de prendre une décision quasi aléatoire.

Il existe un exemple très similaire: la façon dont l'équipe de sécurité de Google Chrome a redéfini l'expérience utilisateur des avertissements de récupération des logiciels malveillants Chrome. Ils ont rendu plus difficile pour l'utilisateur de faire quelque chose de dangereux, en augmentant le coût d'interaction et en augmentant le sentiment de faire quelque chose de dangereux.

Quels sont les dangers d'envoyer un fichier en quarantaine?

Il y a une légère possibilité que l'analyseur de logiciels malveillants marque à tort un fichier système valide comme infecté. L'envoi de ce fichier en quarantaine peut rendre votre système inutilisable tant que le fichier n'est pas restauré. Cela s'est produit à l'occasion avec certains grands fournisseurs d'antivirus pour une version spécifique de définitions. Bien que rapidement ajustées, les actions par défaut avaient rendu les systèmes non amorçables.

L'idée d'avoir l'option "quarantaine" lorsqu'un antivirus détecte un fichier infecté est d'éviter les faux positifs . Si, par hasard, le logiciel antivirus marque à tort un fichier comme «défectueux» alors que le fichier est réellement quelque chose dont vous avez besoin, comme un programme critique (par exemple Explorer.exe dans Windows) de sorte que sa suppression pourrait entraîner l'arrêt de l'ordinateur, la mise en quarantaine permet pour le restaurer simplement.

Tout ce qui est en quarantaine est séparé en toute sécurité du reste de votre ordinateur , il ne peut pas fonctionner à partir de là, donc il ne peut pas faire de mal. Donc, le conseil général est de mettre les fichiers infectés en quarantaine pendant un certain temps, vous allez sur vos activités informatiques normales. Si tout continue à fonctionner correctement après une période de temps raisonnable (par exemple, environ une semaine ou deux), supprimez définitivement les fichiers en quarantaine.

Le fichier identifié par l'Anti Virus S / W comme contenant des logiciels malveillants est déplacé vers un dossier dans lequel Windows ne chercherait normalement pas. Le fichier peut également être renommé par l'Anti Virus S / W, empêchant Windows d'exécuter le fichier et indiquant clairement par son nom que le fichier est en quarantaine.

Les logiciels malveillants peuvent retourner dans le système à partir de la quarantaine si :

Le logiciel malveillant est explicitement restauré manuellement par l'utilisateur en dehors du logiciel anti-malware. Cela ne se produit généralement pas par accident.

Le logiciel anti-malware lui-même a été accidentellement chargé de le faire - la plupart ont une fonction de "restauration", et il est possible, je suppose, de déclencher cela par accident.

Je suis d'accord avec le reste des articles disant qu'un malware n'est pas dangereux s'il est mis en quarantaine et s'il reste en quarantaine.

Mais j'aimerais ajouter un qualificatif - ce n'est vrai que si le logiciel fonctionne comme prévu .

Un logiciel antivirus, comme tout autre logiciel, en particulier un logiciel qui a beaucoup de code pour analyser les données non fiables est lié à avoir des bugs quelque part. Il y a eu de nombreux cas de vulnérabilités de sécurité dans le logiciel antivirus lui-même , créant parfois même des vecteurs d'infection là où ils n'existeraient pas autrement.

Cela me fait me demander - à un certain niveau, le les logiciels malveillants doivent être «neutralisés» avant d'être mis en quarantaine, peut-être en agissant sur les données du virus. Le bogue LZO nous a dit que des défauts subtils dans les algorithmes peuvent exister pendant longtemps et être largement déployés.

Imaginons un instant que le bogue LZO récemment découvert puisse être déclenché par compression plutôt que par décompression. (Ce qui n'est pas le cas. Mais qui sait quels bugs se cachent?) Et imaginons plus loin qu'un produit antivirus hypothétique utilise LZO pour compresser le malware afin de le contenir.

Imaginons plus loin un adversaire créant un morceau de malware qui est détecté comme malware (assez facile à faire, il suffit d'inclure la chaîne EICAR) et lorsqu'il est mis en quarantaine provoque l'exécution de code à distance dans le contexte du processus antivirus!

Je suis sûr que vous pouvez imaginer de nombreuses variantes sur ce thème.

Donc, réponse courte, oui, les logiciels malveillants sont inoffensifs une fois mis en quarantaine.

Réponse longue, il est possible d'imaginer les circonstances dans lesquelles un bogue de sécurité dans le processus de mise en quarantaine lui-même dans le logiciel malveillant amènerait un logiciel malveillant à infecter votre ordinateur spécifiquement via la fonction de mise en quarantaine. Mais je n'ai jamais entendu parler de cela.