Если антивирус (например, ESET) обнаруживает вирус в архиве (например:.RAR) это автоматически удалит зараженный файл? Или мне нужно удалить весь архив? (при условии, что архив не защищен паролем)
1 ответ
Я думаю, что стоит несколько предложений, чтобы сначала прокомментировать, как большинство продуктов безопасности подходят к архивам:
Большинство конечных точек сканеров в реальном времени / при доступе (по умолчанию) не полностью сканируют архивы из-за накладных расходов на распаковку в режиме реального времени, плюс "контейнеры" на самом деле не представляют никакой "немедленной" угрозы, поэтому это не стоит того, чтобы производительность ударила ради потенциального обнаружения чего-то раньше.
При этом большинство продуктов предоставляют возможность включать сканирование архивов в режиме реального времени, но чаще всего это не рекомендуется.
Большинство решений содержат несколько слоев для защиты компьютера и предотвращения попадания такого файла на компьютер в первую очередь. Например, у большинства решений есть ловушка для сканирования файлов по мере их загрузки браузером и перед записью на диск, возможно, в каком-либо процессе веб-прокси, который находится перед процессом браузера. Так как это сканирование не так чувствительно ко времени, может потребоваться больше времени, и большинство из них будет иметь обнаружение «бомбы-молнии», чтобы предотвратить истощение ресурсов, если это была "атака".
Например, никому на самом деле не нужны дополнительные 3 секунды при загрузке файла, но если процесс заблокирован для чтения файла с диска в течение 3 секунд, который не останется незамеченным, и вы, вероятно, почувствуете зависание, так как запрос файла временно заблокирован. в ядре в ожидании проверки на вирусы. То же самое можно сказать и о загрузке вложений электронной почты, опять же, скорость не так важна.
Это также относится к любому продукту безопасности, такому как устройство (веб / электронная почта / и т.д.), Расположенное выше конечной точки. У них есть время для сканирования в архиве, если они могут, чтобы принять меры.
Предполагая, что архивный файл попал на диск, и на переднем крае произошел сбой, или сигнатура / метод обнаружения являются новыми; как часть процесса распаковки сканер в режиме реального времени / при доступе будет сканировать каждый файл по мере его распаковки. Затем он будет считан сканером в реальном времени.
Архивные типы файлов обычно (по умолчанию) сканируются в конечной точке как часть при запланированном сканировании или по требованию, и обычно это происходит при получении сообщения, т.е. после завершения запланированного сканирования. Сканеры могут просто сказать, что он защищен паролем, если они не могут распаковать его, компонент реального времени подберет его здесь, когда пользователь предоставит пароль. Если они могут сканировать содержимое по требованию, продукты обычно сообщают полный путь к зараженному объекту в контейнере.
Большинство продуктов дают вам возможность настроить то, что происходит при обнаружении для каждого из обнаруженных компонентов, то есть сканирование в реальном времени, по требованию / по расписанию. Большинство из них пытаются сначала очистить угрозу, если была написана процедура очистки для рассматриваемой угрозы, а затем просто блокировать / изолировать, если не может быть предпринято никаких действий.
Как и раньше, с возможностью сканирования в реальном времени внутри архива; Обычно вы можете настроить автоматическое удаление файлов при обнаружении, но с риском ложного срабатывания большинство поставщиков не удаляют по умолчанию.
Таким образом, варианты для конечного пользователя являются одним или несколькими из следующих:
- Удалите весь архивный файл, если он вам не нужен. Примером может служить файл в каталоге Downloads, который вам не нужен.
- Если вы считаете, что это ложный положительный результат (возможно, в зависимости от возраста, имени обнаруженного файла, обнаруженного файла, местоположения на диске, требуемой интуиции и опыта), вы обычно можете отправить образец поставщику. Примечание. В зависимости от сигнатуры поставщика / метода обнаружения может потребоваться отправить весь архив, а не только файл внутри.
- Загрузите, возможно, как архив, так и обнаруженный объект, на virustotal.com в качестве второго мнения.
- Если вам нужны другие файлы в архиве, вам может потребоваться авторизовать / исключить файл и / или место назначения, чтобы распаковать его перед тщательным удалением обнаруженного элемента. Затем вы можете заархивировать его, но в зависимости от назначения архива вы можете просто сделать его бесполезным, если требуется обнаруженный компонент, который вы удалили.
Учитывая вышесказанное, я думаю, будет справедливо сказать, что большинство продуктов по умолчанию не перепаковывают архив, основанный на обнаружении компонента внутри. Однако, если существует вредоносная программа, распространяющаяся путем помещения себя, например, в контейнер docx, тогда поставщик, учитывая пример, может легко написать процедуру очистки, которая удалит только угрозу из архива. Поэтому я думаю, что ответ здесь не по умолчанию, а с учетом примера и достаточных причин, чтобы это сделать.