Wenn ein Antivirusprogramm (z. B. ESET) einen Virus in einem Archiv (z. B. .RAR) erkennt, löscht es dann automatisch die infizierte Datei? Oder muss ich das gesamte Archiv löschen? (vorausgesetzt, das Archiv ist nicht kennwortgeschützt)
Antwort1
Ich denke, es lohnt sich, zunächst in ein paar Sätzen zu kommentieren, wie die meisten Sicherheitsprodukte mit Archiven umgehen:
Die meisten Echtzeit-/On-Access-Scanner für Endpunkte (standardmäßig) scannen Archive aufgrund des Aufwands durch das Entpacken in Echtzeit nicht vollständig. Darüber hinaus stellen die „Container“ keine „unmittelbare“ Bedrohung dar. Daher sind die Leistungseinbußen für den Vorteil, möglicherweise etwas früher zu erkennen, nicht gerechtfertigt.
Die meisten Produkte bieten zwar die Möglichkeit, Archive in Echtzeit zu scannen, in den meisten Fällen ist dies jedoch nicht zu empfehlen.
Die meisten Lösungen enthalten mehrere Ebenen, um den Computer zu schützen und zu verhindern, dass eine solche Datei überhaupt auf den Computer gelangt. Die meisten Lösungen verfügen beispielsweise über einen Haken zum Scannen von Dateien, wenn sie vom Browser heruntergeladen werden und bevor sie auf die Festplatte geschrieben werden, möglicherweise in einem Webproxyprozess, der vor dem Browserprozess sitzt. Da dieser Scan nicht so zeitkritisch ist, kann mehr Zeit aufgewendet werden, und die meisten verfügen über eine „Zip-Bomb“-Erkennung, um eine Erschöpfung der Ressourcen zu verhindern, wenn dies der „Angriff“ wäre.
Beispielsweise stört es niemanden, wenn ein Dateidownload drei Sekunden länger dauert. Wenn jedoch ein Prozess drei Sekunden lang daran gehindert wird, eine Datei von der Festplatte zu lesen, bleibt das nicht unbemerkt und Sie werden wahrscheinlich merken, dass es hängt, da eine Dateianforderung im Kernel vorübergehend blockiert wird, bis ein Virenscan durchgeführt wird. Dasselbe gilt möglicherweise für das Herunterladen von E-Mail-Anhängen. Auch hier ist die Geschwindigkeit weniger wichtig.
Dies gilt auch für alle Sicherheitsprodukte, wie z. B. Geräte (Web/E-Mail/usw.), die dem Endpunkt vorgelagert sind. Sie haben Zeit, das Archiv zu scannen, um Maßnahmen ergreifen zu können.
Angenommen, die Archivdatei hat es auf die Festplatte geschafft und die Frontline ist fehlgeschlagen oder die Erkennungssignatur/-methode ist neu; als Teil des Entpackvorgangs würde der Echtzeit-/On-Access-Scanner jede Datei beim Entpacken scannen. Sie würde dann vom Echtzeit-Scanner erkannt.
Archivdateitypen werden normalerweise (standardmäßig) am Endpunkt als Teil geplanter Scans oder auf Anforderung gescannt. Dies ist normalerweise der Zeitpunkt, zu dem Sie die Meldung erhalten, d. h. nach Abschluss eines geplanten Scans. Die Scanner sagen möglicherweise nur, dass es kennwortgeschützt ist, und wenn sie es nicht entpacken können, würde die Echtzeitkomponente es hier erkennen, wenn der Benutzer das Kennwort eingibt. Wenn sie den Inhalt auf Anforderung scannen können, melden die Produkte normalerweise einen vollständigen Pfad zum infizierten Objekt innerhalb des Containers.
Bei den meisten Produkten können Sie konfigurieren, was bei der Erkennung der einzelnen erkannten Komponenten geschieht, z. B. Echtzeit-Scans, On-Demand-Scans oder zeitgesteuerte Scans. Die meisten versuchen zunächst, die Bedrohung zu beseitigen, wenn eine Bereinigungsroutine für die betreffende Bedrohung geschrieben wurde, bevor sie diese einfach blockieren/unter Quarantäne stellen, wenn keine Maßnahmen ergriffen werden können.
Wie zuvor bei der Option „Echtzeit-Scan im Archiv“ können Sie normalerweise die automatische Löschung von Dateien konfigurieren, wenn diese erkannt werden. Da jedoch das Risiko eines Fehlalarms besteht, löschen die meisten Anbieter diese Dateien nicht standardmäßig.
Daher stehen dem Endbenutzer eine oder mehrere der folgenden Optionen zur Verfügung:
- Löschen Sie die gesamte Archivdatei, wenn Sie sie nicht benötigen. Ein Beispiel könnte eine Datei in Ihrem Download-Verzeichnis sein, die Sie nicht benötigen.
- Wenn Sie glauben, dass es sich um einen Fehlalarm handelt (möglicherweise aufgrund von Alter, Erkennungsname, erkannter Datei, Speicherort auf der Festplatte, erforderlicher Intuition und Erfahrung), können Sie normalerweise eine Probe an den Anbieter senden. Hinweis: Je nach Signatur/Erkennungsmethode des Anbieters müssen Sie möglicherweise das gesamte Archiv und nicht nur die darin enthaltene Datei senden.
- Laden Sie ggf. sowohl das Archiv als auch das darin erkannte Objekt als Zweitmeinung auf virustotal.com hoch.
- Wenn Sie die anderen Dateien im Archiv benötigen, müssen Sie die Datei und/oder den Zielspeicherort möglicherweise autorisieren/ausschließen, um sie zu entpacken, bevor Sie das erkannte Element sorgfältig löschen. Sie können es dann wieder komprimieren, aber je nach Zweck des Archivs haben Sie es möglicherweise unbrauchbar gemacht, wenn die erkannte Komponente, die Sie entfernt haben, benötigt wird.
Angesichts des oben Gesagten kann man wohl sagen, dass die meisten Produkte ein Archiv nicht standardmäßig neu packen, wenn eine Komponente darin erkannt wird. Wenn es jedoch ein Stück Malware gäbe, das sich verbreitet, indem es sich beispielsweise in einen Docx-Container einfügt, könnte der Anbieter anhand einer Probe problemlos eine Bereinigungsroutine schreiben, die nur die Bedrohung aus dem Archiv entfernt. Ich denke also, dass die Antwort hier nicht standardmäßig ist, aber anhand einer Probe und genügend Gründen könnte dies der Fall sein.