¿Puede el malware ser peligroso incluso cuando está en cuarentena?

37

Estoy leyendo un libro sobre seguridad de la red y al hablar sobre la confusión del usuario escribe:

  

"No es raro que a un usuario se le hagan preguntas de seguridad como    ¿Es seguro poner en cuarentena este archivo adjunto? Con poca o ninguna dirección, los usuarios están dispuestos a responder a las preguntas sin   entendiendo los riesgos de seguridad ".

¿Podría alguien decirme, por favor, un usuario confundido, cuáles son los peligros de poner en cuarentena un archivo adjunto? Tengo entendido que un archivo en cuarentena no puede interactuar con el sistema operativo de ninguna manera, por lo que no es un riesgo de seguridad, pero tampoco podemos analizarlo para ver si es un virus.

    
pregunta Peter Horniak 01.08.2014 - 07:41
fuente

6 respuestas

54

No

La cuarentena no es más que un lugar para almacenar los archivos infectados / sospechosos. Cuando pone en cuarentena un archivo, se elimina del lugar real y se mueve a la ubicación de cuarentena (a la ruta que su programa antivirus tiene para ellos).

Esto es algo así como mantener a un zombi dentro de una cárcel . Obviamente, no es una amenaza siempre y cuando no abras la jaula.

En la mayoría de los programas antivirus, los archivos de cuarentena se almacenan en formatos binarios internos . Ya que no hay conexión física entre el archivo infector a su sistema (su programa antivirus funciona, ya que el formato de almacenamiento también es un punto positivo), no es peligroso.

Analyzing:

Respecto al análisis de un archivo infectado, sí, no es posible después de la cuarentena. Si desea hacerlo, intente desinfectarlo o restaurarlo a su lugar original (debe desactivar su programa antivirus para hacer esto y este es el lugar donde está abriendo la jaula ) y luego analizarlo. ¡Pero recuerda que el zombie podría comerte ( a menos que seas bueno con las escopetas )! Así que es bajo su propio riesgo.

¿Por qué no enviar los archivos infectados / sospechosos al equipo del programa antivirus? Podrían darle una mejor imagen después de inspeccionarlo con sus firmas de virus actualizadas.

Línea inferior : un archivo en cuarentena no es peligroso. Pero analizarlos tú mismo podría ser.

    
respondido por el Ebenezar John Paul 01.08.2014 - 08:38
fuente
14

Creo que el punto real de los autores no es la seguridad de un archivo una vez en cuarentena, sino ¿qué sucede si el usuario dice "no"? El sistema lo deja donde está, un riesgo potencialmente grande, o lo elimina, un riesgo potencialmente grande. Sin saber qué acción se tomará si no se pone en cuarentena, o sin explicar qué significa la cuarentena, el usuario se enfrenta a una pregunta que debe responder para avanzar. Sin embargo, no tienen la información necesaria para tomar una decisión informada. Lo que pasa ... tiran los dados y adivinan.

    
respondido por el Andy Boura 01.08.2014 - 09:58
fuente
6

Entonces, a los usuarios se les hace una pregunta bastante difícil: ¿Desea este archivo o desea estar seguro? Ni siquiera es una cuestión de decisiones informadas, aquí ... Los usuarios no tienen un título en ciencias de la computación y actualmente no tienen las herramientas para mantenerse seguros.

Los usuarios no tienen tiempo ni esfuerzo para perder decisiones informadas. Este punto se ha debatido sobre y over de nuevo . Si el archivo no es seguro, se debe poner en cuarentena automáticamente, y se debe proporcionar una opción para "Recuperar el malware", en lugar de que el usuario tenga que perder su tiempo pensando en ello o ahorrar su tiempo y tomar una decisión cuasialeatoria.

Hay un ejemplo muy similar: cómo el equipo de seguridad de Google Chrome redefinió la experiencia del usuario de las advertencias de recuperación de malware de Chrome. Hicieron más difícil para el usuario hacer lo inseguro, al aumentar el costo de interacción y al aumentar la sensación de hacer algo peligroso.

    
respondido por el Steve DL 01.08.2014 - 10:50
fuente
4
  

¿Cuáles son los peligros de enviar un archivo a la cuarentena?

Existe una pequeña posibilidad de que el escáner de malware etiquete falsamente un archivo de sistema válido como infectado. Enviar ese archivo a cuarentena podría inutilizar su sistema hasta que se restaure el archivo. Esto ha ocurrido en ocasiones con algunos proveedores importantes de antivirus para un lanzamiento específico de definiciones. Aunque se ajustó rápidamente, las acciones predeterminadas habían hecho que los sistemas no se pudieran iniciar.

    
respondido por el SrJoven 01.08.2014 - 14:05
fuente
4

La idea de tener la opción de "cuarentena" cuando un antivirus detecta un archivo infectado es evitar falsos positivos . Si por casualidad, el software antivirus marca incorrectamente un archivo como "malo" cuando el archivo es realmente algo que necesita, como un programa crítico (por ejemplo, Explorer.exe en Windows) de tal manera que al eliminarlo podría hacer que la computadora deje de funcionar, la cuarentena permite simplemente restaurarlo de nuevo.

Cualquier cosa en cuarentena se separa de manera segura del resto de su computadora , no puede ejecutarse desde allí, por lo que no puede causar daño. Por lo tanto, el consejo general es poner en cuarentena los archivos infectados durante un tiempo para que realice las actividades normales de su computadora. Si todo sigue funcionando correctamente después de un período de tiempo razonable (por ejemplo, aproximadamente una semana o dos), elimine los archivos en cuarentena de forma permanente.

El archivo identificado por Anti Virus S / W como que contiene malware se mueve a una carpeta en la que Windows normalmente no buscaría. El Anti Virus S / W también puede renombrar el archivo, lo que evita que Windows ejecute el archivo, y por lo que es obvio por su nombre que el archivo está en cuarentena.

El malware puede volver al sistema de la cuarentena si :

El software malintencionado es explícitamente, restaurado manualmente por el usuario fuera del software antimalware. Esto generalmente no sucede por accidente.

El software antimalware en sí fue instruido accidentalmente para hacerlo, la mayoría tiene una función de "restauración", y supongo que podría activarlo por accidente.

    
respondido por el user52380 01.08.2014 - 14:06
fuente
1

Estoy de acuerdo con el resto de las publicaciones que dicen que un malware no es peligroso si se pone en cuarentena y si permanece en la cuarentena.

Pero me gustaría agregar un calificador, esto solo es cierto si el software funciona según lo previsto .

El software antivirus, al igual que cualquier otro software existente, especialmente el software que tiene un montón de código para analizar datos no confiables, seguramente tendrá errores en algún lugar. Ha habido muchos casos de vulnerabilidades de seguridad en el propio software antivirus , a veces incluso creando vectores de infección donde de otra forma no existirían.

Esto me hace pensar: en algún nivel, el malware debe ser "neutralizado" antes de ponerlo en cuarentena, tal vez haciendo algo con los datos del virus. El error LZO nos ha dicho que las fallas sutiles en los algoritmos pueden existir durante mucho tiempo y ser ampliamente implementadas.

Imaginemos por un momento que el error LZO recientemente descubierto podría ser activado por compresión en lugar de descompresión. (Lo que no es el caso. Pero, ¿quién sabe qué errores acechan?) Y imaginemos que un producto antivirus hipotético utiliza LZO para comprimir el malware como un paso para contenerlo.

Imaginemos aún más a un adversario que crea una pieza de malware que se detecta como malware (lo suficientemente fácil de hacer, solo incluya la cadena EICAR) y cuando se pone en cuarentena causa la ejecución remota de código en el contexto de ¡El proceso antivirus!

Estoy seguro de que puedes imaginar muchas variaciones sobre este tema.

Entonces, respuesta corta, sí, el malware es inofensivo una vez en cuarentena.

Respuesta larga, es posible imaginar circunstancias en las que un error de seguridad en el proceso de cuarentena en el malware causaría que un malware pudiera infectar su computadora específicamente a través de la función de cuarentena. Pero nunca he oído que esto suceda.

    
respondido por el Per von Zweigbergk 02.08.2014 - 11:17
fuente

Lea otras preguntas en las etiquetas