Si un antivirus (por ejemplo, ESET) detecta un virus dentro de un archivo (por ejemplo, .RAR), ¿eliminará automáticamente el archivo infectado? ¿O necesitaría eliminar todo el archivo? (suponiendo que el archivo no esté protegido con contraseña)
Respuesta1
Creo que vale la pena escribir algunas frases para comentar primero cómo la mayoría de los productos de seguridad abordan los archivos:
La mayoría de los escáneres en tiempo real/en acceso (de forma predeterminada) no escanean completamente los archivos debido a la sobrecarga de descomprimirlos en tiempo real, además los "contenedores" realmente no representan ninguna amenaza "inmediata", por lo que no lo son. Vale la pena mejorar el rendimiento por la ventaja de detectar algo antes.
Dicho esto, la mayoría de los productos ofrecen una opción para permitir el escaneo de archivos en tiempo real, pero la mayoría de las veces no se recomienda.
La mayoría de las soluciones contienen varias capas para proteger la computadora y evitar que dicho archivo llegue a la computadora en primera instancia. Por ejemplo, la mayoría de las soluciones tienen un enlace para escanear archivos a medida que el navegador los descarga y antes de escribirlos en el disco, tal vez en algún proceso de proxy web que se encuentra frente al proceso del navegador. Como este escaneo no es tan urgente, se puede tomar más tiempo y la mayoría tendría detección de "bomba zip" para evitar el agotamiento de recursos si ese fuera el "ataque".
Por ejemplo, a nadie realmente le importan 3 segundos adicionales en la descarga de un archivo, pero si se bloquea un proceso para que no pueda leer un archivo del disco durante 3 segundos, eso no pasará desapercibido y probablemente sentirá el bloqueo ya que una solicitud de archivo se bloquea temporalmente. en el kernel en espera de un análisis de virus. Lo mismo puede aplicarse a la descarga de archivos adjuntos de correo electrónico; nuevamente, la velocidad es una preocupación menor.
Esto también se aplica a cualquier producto de seguridad, como un dispositivo (web/correo electrónico/etc.) aguas arriba del punto final. Tienen tiempo para escanear el archivo si pueden para tomar medidas.
Suponiendo que el archivo comprimido haya llegado al disco y la línea frontal haya fallado o que la firma/método de detección sea nuevo; Como parte del proceso de descompresión, el escáner en tiempo real/en acceso escanearía cada archivo a medida que se descomprime. Luego sería recogido por el escáner en tiempo real.
Los tipos de archivos comprimidos generalmente (de forma predeterminada) se analizan en el terminal como parte de análisis programados o bajo demanda y esto suele ocurrir cuando recibe el mensaje, es decir, después de completar un análisis programado. Los escáneres pueden simplemente decir que está protegido con contraseña y si no pueden descomprimirlo, el componente en tiempo real lo detectará aquí cuando el usuario proporcione la contraseña. Si pueden escanear el contenido a pedido, los productos generalmente informan una ruta completa al objeto infectado dentro del contenedor.
La mayoría de los productos le dan la opción de configurar lo que sucede en la detección de cada uno de los componentes detectados, es decir, análisis en tiempo real, bajo demanda/programados. La mayoría intenta limpiar la amenaza primero si se ha escrito una rutina de limpieza para la amenaza en cuestión, antes de simplemente bloquearla o ponerla en cuarentena si no se puede tomar ninguna medida.
Como antes con la opción de escaneo en tiempo real dentro del archivo; Por lo general, puede configurarlo para que elimine automáticamente los archivos al detectarlos, pero con el riesgo de un falso positivo, la mayoría de los proveedores no los eliminarán de forma predeterminada.
Entonces las opciones para el usuario final son una o más de las siguientes:
- Elimine todo el archivo comprimido si no lo necesita. Un ejemplo podría ser un archivo en su directorio de Descargas que no necesita.
- Si cree que es un falso positivo (tal vez según la edad, el nombre de la detección, el archivo detectado, la ubicación en el disco, la intuición y la experiencia requerida), generalmente puede enviar una muestra al proveedor. Nota: Dependiendo de la firma/método de detección del proveedor, es posible que deba enviar el archivo completo en lugar de solo el archivo que contiene.
- Cargue tal vez tanto el archivo comprimido como el objeto detectado en virustotal.com como segunda opinión.
- Si necesita los otros archivos en el archivo, es posible que deba autorizar/excluir el archivo o la ubicación de destino para descomprimirlo antes de eliminar cuidadosamente el elemento detectado. Luego puede volver a comprimirlo, pero dependiendo del propósito del archivo, es posible que lo haya inutilizado si el componente detectado que eliminó es necesario.
Teniendo en cuenta lo anterior, creo que es justo decir que la mayoría de los productos no vuelven a empaquetar un archivo de forma predeterminada basándose en la detección de un componente interno. Sin embargo, si hubiera una pieza de malware que se propagara colocándose, por ejemplo, en un contenedor docx, entonces el proveedor, con una muestra, podría escribir fácilmente una rutina de limpieza que eliminaría solo la amenaza del archivo. Así que creo que la respuesta aquí no es por defecto, pero si se le da una muestra y una razón suficiente para hacerlo, podría ser así.