شیوه تشخیص و برخورد با موارد Access Denied و Ignore در لاگ Threats

مساله

  • در لاگ تشخیص بدافزار پادویش (Threats) با مواردی مواجه شدید که Ignore یا Access Denied برای آنها درج شده است و می‌خواهید علت این موضوع را مشخص کنید.

شرح مختصر

به طور خلاصه عدم حذف بدافزار می‌تواند به یکی از دلایل زیر باشد:

  1. فایل‌های مشکوک به بدافزار که – بنا به تنظیمات مدیر سیستم – پاکسازی آنها خودکار نبوده و در وضعیت تصمیم‌گیری دستی قرار دارند. (تشخیص‌های از نوع PUA و Heur در این دسته قرار می‌گیرند) در این موارد پادویش جلوی اجرای فایل مشکوک را می‌گیرد، اما بدون دخالت کاربر آنرا حذف/پاکسازی نمی‌کند.
  2. بدافزارهایی که در رسانه ذخیره‌ساز فقط خواندنی مانند سی‌دی یا دی‌وی‌دی انجام شده‌اند و بنا به فقط خواندنی بودن رسانه قابل حذف/پاکسازی نبوده و صرفا جلوگیری می‌شوند.
  3. بدافزارهایی که درون فایل فشرده با شرایط خاصی (مانند فایل‌های solid) قرار دارند که امکان حذف آنها و بازسازی فایل فشرده وجود نداشته یا بسیار زمان‌بر خواهد بود. در این موارد تشخیص به کاربر اعلام می‌گردد و در صورت تصمیم وی، امکان حذف کل فایل فشرده وجود دارد.
  4. فایل‌های آلوده به ویروس (File Infector) که نیاز به پاکسازی کد مخرب از درون فایل دارند، اما ساختار فایل خراب بوده و امکان تعمیر آن وجود ندارد. این فایل‌ها معمولا به علت خرابی اصلا قابل اجرا نیز نیستند و صرفا حاوی امضای بدافزار هستند. در این موارد نیز پادویش جهت جلوگیری از حذف ناخواسته اطلاعات کاربر، تشخیص بدافزار را اعلام نموده و حذف فایل را به تصمیم کاربر می‌گذارد.

توضیح بیشتر در مورد هر یکی از موارد بالا و نیز روش برخورد با آن از طریق ضدویروس پادویش را در زیر مطالعه می‌کنید.

در صورتیکه بعد از بررسی، مشخص گردید که موضوع شما با موارد زیر متفاوت است و از نوع دیگری می‌باشد، لطفا با پشتیبانی پادویش جهت بررسی موضوع تماس بگیرید تا سیستم شما بررسی گردد.

تشخیص‌های از نوع PUA (Potentially Unwanted Application)

برنامه PUA یا Potentially Unwanted Application که به «برنامه احتمالا ناخواسته» نیز مشهور هستند، دسته‌ای از برنامه‌ها است که در مرز نرم‌افزار سالم و بدافزار قرار دارد. این برنامه‌ها به خودی خود بدافزار نیستند و دارای کاربردهای سالم و معقول روزمره هستند، اما به علت امکانات و قابلیت‌هایی که دارند ممکن است وجود آنها در سیستم ناخواسته و مضر باشد.

به عنوان مثال:

  1. نرم‌افزارهای Sniffer ترافیک شبکه یا کی‌لاگرها. این نوع برنامه‌ها ممکن است توسط مدیر شبکه جهت عیب‌یابی به کار بروند، یا توسط والدین به عنوان پرنتال کنترل نصب شده باشند، اما در طرف مقابل ممکن است توسط فرد دیگری در سیستم و به منظور ابزار نفوذ استفاده گردند. لذا ضدویروس در این نوع موارد کاربر را از وجود نرم‌افزار مطلع کرده و تصمیم را به وی واگذار می‌کند.
  2. نرم‌افزارهای ریموت که بدون پیام یا رابط کاربری اجرا می‌شوند. چنین نرم‌افزاری در صورتیکه کاربر از وجود آن مطلع باشد و از آن استفاده کند بی‌خطر است، اما اگر توسط یک نفوذگر روی سیستم نصب شده باشد لازم است وجود برنامه به کاربر اطلاع داده شود.
  3. نرم‌افزارهای سالم دارای تبلیغات که توسط برخی کاربران استفاده می‌شوند و از نظر آنها مشکلی ندارند، اما برخی کاربران دیگر ممکن است از حضور آنها نامطلع بوده و از تبلیغات نمایش داده شده ناراضی باشند.
  4. و …

روش یافتن تشخیص‌های از این نوع

در پادویش همه تشخیص‌هایی که با کلمه PUA. آغاز می‌شوند از این دسته هستند.

روش برخورد

در این مورد به چند صورت می‌توانید برنامه‌های ناخواسته را حذف نمایید:

  1. پاسخگویی به هشدار ضدویروس (محافظت مستمر یا پویشگر) و انتخاب گزینه حذف/پاکسازی بر روی سیستم مربوطه
  2. تغییر تنظیمات پویشگر در کنسول مدیریتی پادویش (Change Client Settings > Padvish AV > Scanner) به حالت Automatic و انجام پویش بر روی کلاینت مربوطه
  3. راست کلیک بر روی لاگ تشخیص در کنسول مدیریتی پادویش و انتخاب گزینه Run Disinfection For Selected Item را انتخاب نمایید. (سری ۱.۱۴ کنسول مدیریتی پادویش به بعد)

فایل‌های مشکوک به بدافزار Heur

پادویش علاوه بر روش‌های تشخیصی مبتنی بر امضا و شبه‌اجرا، دارای یک موتور هوش مصنوعی مبتنی بر یادگیری ماشین (Machine Learning – ML) می‌باشد که امکان تشخیص انواع جدید و ناشناخته بدافزار را که توسط هیچ ضدویروسی دیده نشده‌اند را فراهم می‌کند. تشخیص‌های مبتنی بر موتور هوشمند پادویش با نام Heur شروع شده و از نوع تشخیص‌های مشکوک (غیرقطعی) محسوب می‌شوند.

کاربر می‌تواند با تغییر درجه حساسیت موتور هوشمند، میزان دقت و سختگیری آن در تشخیص بدافزارهای جدید را تغییر دهد. به نحوی که انتخاب حساسیت‌های بالاتر، امکان تشخیص بدافزارهای بیشتری را فراهم می‌کند، اما احتمال تشخیص نرم‌افزارهای سالم که از روش‌های فرار از مهندسی معکوس استفاده کرده یا ساختار و رفتارهای نزدیک به بدافزار دارند نیز بیشتر می‌شود.

به علاوه این تشخیص‌ها نیز – مشابه برنامه‌های ناخواسته PUA – از نوع تشخیص مشکوک به بدافزار محسوب شده و برخورد با آنها تابع تنظیمات انجام شده در این بخش می‌باشد.

روش یافتن تشخیص‌های از این نوع

در پادویش همه تشخیص‌هایی که با کلمه HEUR. آغاز می‌شوند از این دسته هستند.

روش برخورد

روش برخورد با این نوع بدافزارها مشابه روش برخورد با PUA می‌باشد.

رسانه‌های فقط خواندنی

در صورتی که تشخیص بدافزار در یک رسانه فقط خواندنی مانند سی‌دی/دی‌وی‌دی، فلش فقط خواندنی، یا فولدر اشتراکی رخ دهد، طبیعتا امکان تغییر در فایل بدافزار یا حذف آن وجود ندارد. لذا در این نوع تشخیص‌ها پادویش صرفا از اجرای بدافزار و آلودگی سیستم جلوگیری کرده (منع دسترسی Access Denied) و لاگ آن را ثبت می‌نماید.

روش یافتن تشخیص‌های از این نوع

تشخیص‌هایی که در رسانه فقط خواندنی هستند از این نوع هستند. جهت تمیز دادن این موارد از سایر لاگ‌های تشخیص بدافزار، به ستون DeviceID که نشانگر شناسه سخت‌افزاری رسانه مربوطه است توجه نمایید.

روش برخورد

در این مورد به علت اینکه رسانه فاقد امکان بازنویسی است، راهی برای رفع مساله به جز رونویسی از رسانه مربوطه وجود ندارد.

حذف بدافزار از درون فایل فشرده

پادویش دارای امکان تشخیص بدافزارهای درون فایل‌های فشرده می‌باشد و در حین پویش، محتویات این فایل‌ها را پویش کرده و در صورت وجود بدافزار آن را اعلام می‌کند. لازم به ذکر است که بدافزارهای درون فایل فشرده در واقع بدافزار غیرزنده و آرشیو شده هستند و امکان اجرا ندارند، بلکه قبل از اجرا باید از فایل فشرده خارج شوند که در چنین صورتی بلافاصله توسط محافظت مستمر پادویش شناسایی و پاکسازی خواهند شد. لذا هدف از پویش فایل‌های فشرده در واقع کشف بدافزارهایی است که در بکاپ‌ها و مانند آن آرشیو شده‌اند و نیازمند یک واکنش فوری نمی‌باشد.

در صورتیکه بدافزاری در فایل فشرده کشف شود، پادویش برای راحتی کاربر با شرایطی امکان حذف خودکار بدافزار از درون فایل فشرده را نیز ارائه می‌دهد. این امکان برای انواع متداولی مانند zip و 7z تعبیه شده است و یکی از محدودیت‌های آن، این است که فایل فشرده از نوع Solid نباشد. چرا که نحوه فشرده‌سازی فایل‌های Solid به صورتی است که جهت حذف یک فایل، باید کل فایل‌ها ابتدا استخراج و سپس دوباره فشرده شوند که ممکن است به دلایل مختلف کاری بسیار زمان‌بر بوده و نیاز به فضای آزاد دیسک و … داشته باشد.

در صورتیکه به هر علتی امکان حذف فایل از درون فایل فشرده به صورت خودکار وجود نداشته باشد، پادویش وجود بدافزار را اعلام کرده از کاربر در مورد نحوه برخورد کسب تکلیف می‌کند.

روش یافتن تشخیص‌های از این نوع

برای تمیز دادن این نوع تشخیص‌ها، به اسم فایل درج شده در لاگ توجه کنید. تشخیص‌هایی درون فایل فشرده رخ داده‌اند با اسم فایل، کاراکتر دو نقطه (:) و سپس مسیر درون فایل فشرده مشخص می‌شوند. (به عنوان مثال c:\path\file.zip:somefile.exe)

روش برخورد

به دو روش می‌توان کل فایل فشرده را حذف نمود:

  1. بر روی سیستم مربوطه، در پایان پویش، بر روی لینک «برخی موارد نیازمند توجه شما هستند» کلیک کرده و از لیست نمایش داده شده گزینه حذف فایل فشرده را انتخاب کنید. پیامی مبنی بر اطمینان از حذف کل فایل فشرده ظاهر می‌شود که با پاسخ به آن فایل حذف خواهد شد.
  2. راست کلیک بر روی لاگ تشخیص در کنسول مدیریتی پادویش و انتخاب گزینه Run Disinfection For Selected Item را انتخاب نمایید. (سری ۱.۱۴ کنسول مدیریتی پادویش به بعد)

فایل‌های آلوده به ویروس

ویروس (در کنار کرم و تروجان) نوع خاصی از بدافزار است که کد مخرب خود را درون فایل اجرایی سالم پنهان می‌کند. جهت پاکسازی ویروس، حذف فایل راهکار نبوده و منجر به حذف فایل اجرایی و از کار افتادن سیستم می‌شود، لذا باید کد مخرب ویروس از درون فایل اجرایی استخراج شده و طی یک عملیات پیچیده فایل سالم بازتولید گردد. ضدویروس پادویش قادر به پاکسازی کد مخرب و بازتولید فایل سالم از فایل ویروسی بوده و این عملیات را به صورت خودکار در مورد ویروس‌ها انجام می‌دهد.

در مواردی، به علت وجود خطا در کد ویروس، یا اتفاقات نرم‌افزاری/سخت‌افزاری، ممکن است ساختار فایل اجرایی خراب شده و به همین علت قابل پاکسازی و بازگردانی نباشد. این نوع فایل‌ها در بسیاری موارد قابل اجرا نیز نیستند، و محتوای آنها در حدی بهم ریخته که دیگر قابل استفاده نیست. به علاوه برخی ضدویروس‌ها هنگام پاکسازی ویروس، کلیه نشانه‌های ویروس را حذف نمی‌کنند و حتی پس از پاکسازی، امضای ویروس در این فایل‌ها توسط سایر ضدویروس‌ها تشخیص داده می‌شود. پادویش در حین پروسه پاکسازی فایل ویروسی، این نوع فایل‌ها را تشخیص داده و  در راستای حفظ اطلاعات کاربر، عملیات پاکسازی را بدون تغییر فایل متوقف می‌کند. در این موارد عملیات حذف فایل نیز توسط پادویش انجام نمی‌گیرد، چرا که فایل حاوی کد مخرب و کد سالم است، لذا صرفا از اجرای فایل و آلودگی سیستم ممانعت شده (منع دسترسی Access Denied) و تصمیم‌گیری درباره حذف این فایل‌ها به کاربر واگذار می‌گردد.

روش یافتن تشخیص‌های از این نوع

تمام تشخیص‌های از نوع ویروس با کلمه Virus. آغاز می‌شوند. در صورتیکه تشخیص داده شده از انواع قبلی نباشد (بر روی رسانه فقط خواندنی قرار نگرفته باشد) مشخص است که علت عدم پاکسازی مربوط به خراب شدن ساختار فایل اجرایی است. (در این موارد احتمال خوبی وجود دارد فایل اصلا قابل اجرا نباشد)

روش برخورد

به دو روش می‌توان فایل آلوده را حذف نمود:

  1. بر روی سیستم مربوطه، در پایان پویش، بر روی لینک «برخی موارد نیازمند توجه شما هستند» کلیک کرده و از لیست نمایش داده شده گزینه حذف را انتخاب کنید.
  2. راست کلیک بر روی لاگ تشخیص در کنسول مدیریتی پادویش و انتخاب گزینه Run Disinfection For Selected Item را انتخاب نمایید. (سری ۱.۱۴ کنسول مدیریتی پادویش به بعد)