Se um antivírus (ex: ESET) detectar um vírus dentro de um arquivo (ex: .RAR), ele excluirá automaticamente o arquivo infectado? Ou eu precisaria excluir todo o arquivo? (assumindo que o arquivo não esteja protegido por senha)
Responder1
Acho que vale algumas frases para comentar primeiro como a maioria dos produtos de segurança aborda os arquivos:
A maioria dos scanners de endpoint em tempo real/ao acessar (por padrão) não verificam completamente os arquivos devido à sobrecarga da descompactação em tempo real, além dos "contêineres" não representarem nenhuma ameaça "imediata", então não é vale a pena o impacto no desempenho pelo ganho de potencialmente detectar algo mais cedo.
Dito isto, a maioria dos produtos oferece uma opção para permitir a verificação de arquivos em tempo real, mas na maioria das vezes isso não seria recomendado.
A maioria das soluções contém múltiplas camadas para proteger o computador e evitar que tal arquivo chegue ao computador em primeiro lugar. Por exemplo, a maioria das soluções possui um gancho para verificar arquivos à medida que são baixados pelo navegador e antes de serem gravados no disco, talvez em algum processo de proxy da Web que fica na frente do processo do navegador. Como essa verificação não é tão sensível ao tempo, mais tempo pode ser levado e a maioria teria detecção de "bomba zip" para evitar o esgotamento de recursos se esse fosse o "ataque".
Por exemplo, ninguém realmente se importa com 3 segundos extras no download de um arquivo, mas se um processo for impedido de ler um arquivo do disco por 3 segundos, isso não passará despercebido e você provavelmente sentirá um travamento quando uma solicitação de arquivo for temporariamente bloqueada no kernel aguardando uma verificação de vírus. O mesmo pode acontecer com o download de anexos de e-mail; novamente, a velocidade é menos preocupante.
Isso também se aplica a qualquer produto de segurança, como um dispositivo (web/e-mail/etc.) upstream do endpoint. Eles têm tempo para verificar o arquivo, se puderem, para agir.
Supondo que o arquivo chegou ao disco e a linha de frente falhou ou a assinatura/método de detecção é nova; como parte do processo de descompactação, o scanner em tempo real/no acesso verificaria cada arquivo à medida que ele fosse descompactado. Seria então captado pelo scanner em tempo real.
Os tipos de arquivos compactados geralmente são (por padrão) verificados no endpoint como parte de verificações agendadas ou sob demanda e isso geralmente ocorre quando você recebe a mensagem, ou seja, após a conclusão de uma verificação agendada. Os scanners podem apenas dizer que está protegido por senha e se não conseguirem descompactá-lo, o componente em tempo real o selecionará aqui conforme o usuário fornecer a senha. Se puderem verificar o conteúdo sob demanda, os produtos geralmente relatam um caminho completo para o objeto infectado dentro do contêiner.
A maioria dos produtos oferece a opção de configurar o que acontece na detecção de cada um dos componentes detectados, ou seja, verificações em tempo real, sob demanda/agendadas. A maioria tenta limpar a ameaça primeiro se uma rotina de limpeza tiver sido escrita para a ameaça em questão, antes de apenas bloquear/colocar em quarentena se nenhuma ação puder ser tomada.
Como antes, com a opção de verificação em tempo real dentro do arquivo; geralmente você pode configurar para excluir arquivos automaticamente na detecção, mas com o risco de um falso positivo, a maioria dos fornecedores não excluirá por padrão.
Portanto, as opções para o usuário final são uma ou mais das seguintes:
- Exclua todo o arquivo compactado se não precisar dele. Um exemplo pode ser um arquivo no diretório Downloads que você não precisa.
- Se você acha que é um falso positivo (talvez com base na idade, nome da detecção, arquivo detectado, localização no disco, intuição e experiência necessária), geralmente você pode enviar uma amostra ao fornecedor. Nota: Dependendo da assinatura/método de detecção do fornecedor, pode ser necessário enviar o arquivo inteiro em vez de apenas o arquivo contido nele.
- Carregue talvez o arquivo e o objeto detectado em virustotal.com como uma segunda opinião.
- Se você precisar de outros arquivos no arquivo, pode ser necessário autorizar/excluir o arquivo e/ou local de destino para descompactá-lo antes de excluir cuidadosamente o elemento detectado. Você pode então compactá-lo novamente, mas dependendo da finalidade do arquivo, você pode tê-lo tornado inútil se o componente detectado que você removeu for necessário.
Dado o que foi dito acima, acho justo dizer que a maioria dos produtos, por padrão, não reembala um arquivo com base na detecção de um componente dentro dele. Se, no entanto, houvesse um malware que se espalhasse, colocando-se, digamos, em um contêiner docx, o fornecedor, com uma amostra, poderia facilmente escrever uma rotina de limpeza que removeria apenas a ameaça do arquivo. Portanto, acho que a resposta aqui não é padrão, mas sim uma amostra e motivos suficientes para fazê-lo.