Если антивирус (например:ESET) обнаружит вирус внутри архива (например: .RAR), удалит ли он автоматически зараженный файл? Или мне нужно будет удалить весь архив? (предполагая, что архив не защищен паролем)
решение1
Думаю, стоит сначала сказать несколько слов о том, как большинство продуктов безопасности подходят к архивам:
Большинство конечных сканеров в режиме реального времени/при доступе (по умолчанию) не полностью сканируют архивы из-за накладных расходов на распаковку в режиме реального времени, плюс «контейнеры» на самом деле не представляют никакой «непосредственной» угрозы, поэтому не стоит снижать производительность ради потенциально более раннего обнаружения чего-либо.
При этом большинство продуктов предоставляют возможность сканирования архивов в режиме реального времени, но чаще всего это не рекомендуется.
Большинство решений содержат несколько уровней для защиты компьютера и предотвращения попадания такого файла на компьютер в первую очередь. Например, большинство решений имеют хук для сканирования файлов, когда они загружаются браузером и перед записью на диск, возможно, в каком-то процессе веб-прокси, который находится перед процессом браузера. Поскольку это сканирование не так чувствительно ко времени, может потребоваться больше времени, и большинство будет иметь обнаружение "zip-бомбы", чтобы предотвратить истощение ресурсов, если это была "атака".
Например, никого не волнуют дополнительные 3 секунды при загрузке файла, но если процесс заблокирован от чтения файла с диска на 3 секунды, это не останется незамеченным, и вы, скорее всего, почувствуете зависание, поскольку запрос файла временно заблокирован в ядре в ожидании проверки на вирусы. То же самое может касаться загрузки вложений электронной почты, опять же, скорость не так важна.
Это также касается любого продукта безопасности, такого как устройство (веб/электронная почта/и т. д.) выше конечной точки. У них есть время, чтобы просканировать архив, если они могут, чтобы предпринять меры.
Предполагая, что архивный файл попал на диск, а передовая линия не сработала или сигнатура/метод обнаружения являются новыми; в рамках процесса распаковки сканер реального времени/при доступе будет сканировать каждый файл по мере его распаковки. Затем он будет выбран сканером реального времени.
Архивные типы файлов обычно (по умолчанию) сканируются на конечной точке как часть запланированного сканирования или сканирования по требованию, и это обычно происходит, когда вы получаете сообщение, т. е. после завершения запланированного сканирования. Сканеры могут просто сказать, что он защищен паролем, если он и они не могут его распаковать, компонент реального времени подхватит его здесь, поскольку пользователь предоставит пароль. Если они могут сканировать содержимое по требованию, продукты обычно сообщают полный путь к зараженному объекту внутри контейнера.
Большинство продуктов предоставляют вам возможность настроить действия при обнаружении для каждого из обнаруженных компонентов, то есть сканирование в реальном времени, по требованию или по расписанию. Большинство пытаются сначала очистить угрозу, если для рассматриваемой угрозы была написана процедура очистки, а затем просто заблокировать/поместить в карантин, если невозможно предпринять никаких действий.
Как и раньше, при сканировании в реальном времени внутри архива обычно можно настроить автоматическое удаление файлов при обнаружении, но из-за риска ложного срабатывания большинство поставщиков не удаляют файлы по умолчанию.
Таким образом, у конечного пользователя есть один или несколько вариантов из следующих:
- Удалите весь архивный файл, если он вам не нужен. Примером может быть файл в вашем каталоге Downloads, который вам не нужен.
- Если вы считаете, что это ложный положительный результат (возможно, на основании возраста, имени обнаружения, обнаруженного файла, местоположения на диске, интуиции и требуемого опыта), вы обычно можете отправить образец поставщику. Примечание: в зависимости от подписи/метода обнаружения поставщика вам может потребоваться отправить весь архив, а не только файл внутри.
- Возможно, стоит загрузить как архив, так и обнаруженный в нем объект на virustotal.com в качестве второго мнения.
- Если вам нужны другие файлы в архиве, вам может потребоваться авторизовать/исключить файл и/или место назначения, чтобы распаковать его перед тем, как осторожно удалить обнаруженный элемент. Затем вы можете заархивировать его обратно, но в зависимости от цели архива вы можете просто сделать его бесполезным, если обнаруженный вами удаленный компонент необходим.
Учитывая вышесказанное, я думаю, будет справедливо сказать, что большинство продуктов по умолчанию не переупаковывают архив на основе обнаружения компонента внутри. Однако, если бы была вредоносная программа, которая распространялась, помещая себя, скажем, в контейнер docx, то поставщик, имея образец, мог бы легко написать процедуру очистки, которая бы удалила только угрозу из архива. Поэтому я думаю, что ответ здесь не по умолчанию, но при наличии образца и достаточной причины сделать это он мог бы.