ウイルス対策ソフトはアーカイブ内のファイルを削除できますか?

tag-icon tag-icon anti-virus file-archiver
ウイルス対策ソフトはアーカイブ内のファイルを削除できますか?

ウイルス対策ソフト (例: ESET) がアーカイブ (例: .RAR) 内でウイルスを検出した場合、感染したファイルは自動的に削除されますか? それともアーカイブ全体を削除する必要がありますか? (アーカイブがパスワードで保護されていないと仮定)

答え1

まず、ほとんどのセキュリティ製品がアーカイブにどのように取り組んでいるかについて、数文コメントしておく価値があると思います。

ほとんどのエンドポイントのリアルタイム/オンアクセス スキャナー (デフォルト) は、リアルタイムでの解凍のオーバーヘッドのためアーカイブを完全にスキャンしません。また、「コンテナー」は実際には「即時の」脅威をもたらさないため、何かをより早く検出できる可能性のためにパフォーマンスを低下させる価値はありません。

とはいえ、ほとんどの製品にはアーカイブのリアルタイムスキャンを有効にするオプションが用意されていますが、ほとんどの場合、これは推奨されません。

ほとんどのソリューションには、コンピュータを保護し、そのようなファイルが最初からコンピュータに侵入するのを防ぐための複数のレイヤーが含まれています。たとえば、ほとんどのソリューションには、ブラウザによってダウンロードされ、ディスクに書き込まれる前にファイルをスキャンするフックがあり、ブラウザ プロセスの前にある Web プロキシ プロセスでスキャンされる可能性があります。このスキャンは時間に敏感ではないため、より多くの時間をかけることができ、ほとんどのソリューションには、それが「攻撃」であった場合にリソースが枯渇するのを防ぐための「zip 爆弾」検出機能があります。

たとえば、ファイルのダウンロードに 3 秒余計にかかることを気にする人はいませんが、プロセスが 3 秒間ディスクからのファイルの読み取りをブロックされると、それに気付かずにはいられず、ウイルス スキャンを待機するためにカーネルでファイル要求が一時的にブロックされるため、ハングアップを感じる可能性があります。電子メールの添付ファイルのダウンロードでも同じことが言えますが、この場合も速度はそれほど問題になりません。

これは、エンドポイントの上流にあるアプライアンス (Web、電子メールなど) などのセキュリティ製品にも当てはまります。対策を講じるために、可能であればアーカイブをスキャンする時間があります。

アーカイブ ファイルがディスクに書き込まれ、最前線が失敗したか、検出シグネチャ/方法が新しいと仮定すると、解凍プロセスの一環として、リアルタイム/オンアクセス スキャナは解凍される各ファイルをスキャンします。その後、リアルタイム スキャナによって検出されます。

アーカイブ ファイル タイプは通常 (既定) スケジュールされたスキャンまたはオンデマンドの一部としてエンドポイントでスキャンされ、通常はスケジュールされたスキャンの完了後にメッセージを受け取ります。スキャナーは、パスワードで保護されているとだけ表示し、解凍できない場合は、ユーザーがパスワードを入力すると、リアルタイム コンポーネントがここでそれを取得します。オンデマンドでコンテンツをスキャンできる場合、製品は通常、コンテナー内の感染したオブジェクトへの完全なパスを報告します。

ほとんどの製品では、検出された各コンポーネントに対して検出時に何が起こるかを設定するオプション(リアルタイム、オンデマンド/スケジュールされたスキャンなど)が提供されています。ほとんどの製品では、問題の脅威に対してクリーンアップ ルーチンが記述されている場合は、まず脅威のクリーンアップを試み、その後、何もアクションが実行できない場合はブロック/隔離します。

以前のアーカイブ オプション内のリアルタイム スキャンと同様に、通常は検出時にファイルを自動的に削除するように構成できますが、誤検知のリスクがあるため、ほとんどのベンダーはデフォルトでは削除しません。

したがって、エンド ユーザーのオプションは次の 1 つ以上になります。

  1. 必要ない場合は、アーカイブ ファイル全体を削除します。たとえば、ダウンロード ディレクトリ内の不要なファイルなどです。
  2. 誤検知であると思われる場合 (経過年数、検出名、検出されたファイル、ディスク上の場所、必要な直感と経験に基づく)、通常はサンプルをベンダーに送信できます。注: ベンダーの署名/検出方法によっては、ファイルだけでなくアーカイブ全体を送信する必要がある場合があります。
  3. セカンドオピニオンとして、アーカイブと検出されたオブジェクトの両方を viraltotal.com にアップロードしてください。
  4. アーカイブ内の他のファイルが必要な場合は、検出された要素を慎重に削除する前に、ファイルや宛先の場所を承認/除外して解凍する必要があります。その後、再度 zip で圧縮できますが、アーカイブの目的によっては、削除した検出されたコンポーネントが必要な場合、アーカイブが役に立たなくなる可能性があります。

上記を踏まえると、ほとんどの製品は、デフォルトで、内部のコンポーネントの検出に基づいてアーカイブを再パックしないと言っても過言ではないと思います。ただし、たとえば docx コンテナに自身を配置して拡散するマルウェアがあった場合、サンプルがあれば、ベンダーはアーカイブから脅威だけを削除するクリーンアップ ルーチンを簡単に作成できます。したがって、ここでの答えは、デフォルトでは再パックされないが、サンプルと十分な理由があれば再パックされる可能性がある、というのが私の考えです。

関連情報