マルウェアは隔離されていても危険ですか？

Question

私はネットワークセキュリティに関する本を読んでいて、ユーザーの混乱について話すとき、次のように書いています。

「ユーザーがなどのセキュリティの質問を受けることは珍しくありませんか？この添付ファイルを隔離しても安全ですか？指示がほとんどまたはまったくないため、ユーザーはセキュリティリスクを理解する」

混乱したユーザーの誰かに、添付ファイルを隔離することの危険性について教えてください。私の理解では、隔離されたファイルはOSと何らかの方法で相互作用できないため、セキュリティリスクではありませんが、ウイルスであるかどうかを分析することはできません。

Ebenezar John Paul · Accepted Answer

いいえ

隔離は、感染した/疑わしいファイルを保存する場所に過ぎません。ファイルを検疫すると、ファイルは実際の場所から削除され、検疫場所（ウイルス対策プログラムがファイルに対して持っているパス）に移動されます。

これは刑務所内のゾンビを維持するようなものです。ケージを開けない限り、脅威ではありません。

ほとんどのウイルス対策プログラムでは、隔離ファイルは内部バイナリ形式で保存されます。感染ファイルとシステムとの間に物理的な接続がないため（保存形式もプラスポイントなので、ウイルス対策プログラムは機能します）、危険ではありません。

分析：

感染ファイルの分析に関しては、はい、隔離後は不可能です。それを実行したい場合は、駆除するか、元の場所に復元してみてください（これを行うには、ウイルス対策プログラムを無効にする必要があります。ここが、ここです- ケージを開く）次に、それを分析します。しかし、ゾンビがあなたを食べてしまう可能性があることを覚えておいてください（ショットガンが得意でない限り）！ですから、それはあなた自身の責任です。

感染した/疑わしいファイルをウイルス対策プログラムチームに送信しないのはなぜですか？更新されたウイルスシグネチャで検査すると、より良い画像が得られる場合があります。

最終行：隔離されたファイルは危険ではありません。しかし、それらを自分で分析するかもしれません。

Andy Boura · Answer

著者の本当のポイントは、一度隔離されたファイルの安全性ではなく、ユーザーが「いいえ」と言った場合はどうなるのでしょうか。システムはそれをそのままの場所に残しますか-潜在的に大きなリスク、またはそれを消去します-潜在的に大きなリスク。検疫を行わない場合、または実際に検疫が何を意味するのかを説明せずに実行するアクションがわからない場合、ユーザーは進行状況に回答する必要がある質問に直面します。しかし、彼らは情報に基づいた決定を行うために必要な情報を持っていません。何が起こるか...彼らはサイコロを振って推測します。

Steve Dodier-Lazaro · Answer

そのため、ユーザーはかなり難しい質問をされます。このファイルを使いますか、それとも安全にしますか？ここでは情報に基づいた決定の問題ではありません...ユーザーはコンピュータサイエンスの学位を取得しておらず、現在のところ安全性を維持するためのツールもありません。

ユーザーは、情報に基づいた決定のために無駄にする時間と労力を持っていません。この点は議論されています over and over again 。ファイルが安全でない場合は、ファイルを自動的に隔離し、「マルウェアを回復する」オプションを提供する必要があります。ユーザーは、ファイルのことを考えて時間を無駄にするか、時間を節約して準ランダムな決定を行う必要がありません。

非常によく似た例があります。GoogleChromeセキュリティチームがChromeマルウェアリカバリの警告のユーザーエクスペリエンスを再定義した方法です。ユーザーの操作をより困難にしました。安全でないこと、それの相互作用コストを増やし、危険なことをする感覚を増やすことによって。

SrJoven · Answer

ファイルを隔離に送信することの危険性は何ですか？

マルウェアスキャナーが有効なシステムファイルを感染したと誤ってタグ付けする可能性が少しあります。そのファイルを隔離に送信すると、ファイルが復元されるまでシステムが使用できなくなる可能性があります。これは、特定のリリースの定義に対するアンチウイルスの主要ベンダーによって時折起こりました。すぐに調整されましたが、デフォルトのアクションによりシステムが起動できなくなりました。

user52380 · Answer

アンチウイルスが感染ファイルを検出したときに「検疫」オプションを使用するという考え誤検知を回避するため。重要なプログラム（WindowsのExplorer.exeなど）のように、ファイルが実際に必要なものである場合に、ウイルス対策ソフトウェアがファイルに誤って「不良」のフラグを付け、ファイルを削除するとコンピューターが機能しなくなる可能性がある場合、検疫により単にそれを復元します。

隔離されたものはすべて、コンピューターの他の部分から安全に隔離されます、そこから実行することはできないため、害を及ぼすことはありません。そのため、一般的なアドバイスは、感染したファイルをしばらくの間隔離して、通常のコンピュータアクティビティを実行することです。妥当な期間（たとえば、約1〜2週間）が経過してもすべてが適切に動作し続ける場合は、隔離されているファイルを完全に削除してください。

アンチウイルスによって識別されたファイルS/Wは、Windowsが通常は検索しないフォルダーに移動されます。ファイルは、アンチウイルスによって名前を変更することもできますS/W Windowsがファイルを実行するのを防ぎ、その名前でファイルが隔離されていることを明らかにします。

マルウェアは、次の場合に隔離からシステムに戻る可能性があります：

マルウェアは明示的に、マルウェア対策ソフトウェアの外部のユーザーによって手動で復元されます。これは通常、偶然には起こりません。

マルウェア対策ソフトウェア自体が誤ってそうするように指示されました-ほとんどの場合、「復元」機能があり、それを偶然にトリガーした可能性があります。

Per von Zweigbergk · Answer

マルウェアが隔離されていて、隔離されている場合、マルウェアは危険ではないと言っている残りの投稿にも同意しますstays。

しかし、修飾子を追加したいのですが、これは本当ですソフトウェアが意図したとおりに機能する場合。

ウイルス対策ソフトウェアは、他のソフトウェアと同様に、特に信頼されていないデータを解析するためのコードをロードするソフトウェアは、どこかにバグがあるはずです。セキュリティの脆弱性の多くのケースがありましたアンチウイルスソフトウェア自体、場合によっては、他の方法では存在しない感染ベクトルを作成することさえあります。

これは私を不思議に思います-あるレベルでは、おそらくウイルスのデータに何かをすることによって、マルウェアを隔離する前に「中和」する必要があります。 LZOのバグは、アルゴリズムの微妙な障害が長期間存在し、広く配備される可能性があることを示しています。

最近発見されたLZOバグが解凍ではなく圧縮によって引き起こされる可能性があることを少し想像してみましょう。（そうではありません。しかし、どのバグが潜んでいるのか誰が知っていますか？）そして、仮想ウイルス対策製品がLZOを使用してマルウェアを封じ込めるステップとしてマルウェアを圧縮するとします。

マルウェアとして検出されたマルウェアを作成する敵を想像してみましょう（実行するのは簡単で、EICAR文字列を含めるだけです）隔離された場合は、ウイルス対策プロセスのコンテキストでリモートコード実行を引き起こします！

このテーマにはさまざまなバリエーションがあると思います。

つまり、簡単に言えば、マルウェアは隔離されれば無害です。

長い答えですが、マルウェアの検疫プロセス自体のセキュリティバグが原因で、マルウェアがコンピュータに感染する可能性がある状況を想像できます特に検疫機能を介して。しかし、私はこれが起こったことを聞いたことがありません。