Я думаю, что стоит несколько предложений, чтобы сначала прокомментировать, как большинство продуктов безопасности подходят к архивам:
Большинство конечных точек сканеров в реальном времени / при доступе (по умолчанию) не полностью сканируют архивы из-за накладных расходов на распаковку в режиме реального времени, плюс «контейнеры» на самом деле не представляют никакой «немедленной» угрозы, поэтому это не стоит того, чтобы производительность ударила ради потенциального обнаружения чего-то раньше.
При этом большинство продуктов предоставляют возможность включать сканирование архивов в режиме реального времени, но чаще всего это не рекомендуется.
Большинство решений содержат несколько слоев для защиты компьютера и предотвращения попадания такого файла на компьютер в первую очередь. Например, у большинства решений есть ловушка для сканирования файлов, когда они загружаются браузером и перед записью на диск, возможно, в каком-то процессе веб-прокси, который находится перед процессом браузера. Поскольку это сканирование не так чувствительно ко времени, может потребоваться больше времени, и большинство из них будет иметь обнаружение «бомбы-молнии», чтобы предотвратить истощение ресурсов, если это была «атака».
Например, никому на самом деле не нужны дополнительные 3 секунды при загрузке файла, но если процесс заблокирован для чтения файла с диска в течение 3 секунд, который не останется незамеченным, и вы, вероятно, почувствуете зависание, так как запрос файла временно заблокирован. в ядре в ожидании проверки на вирусы. То же самое можно сказать и о загрузке вложений электронной почты, опять же, скорость не так важна.
Это также относится к любому продукту безопасности, такому как устройство (веб / электронная почта / и т. Д.), Расположенное выше конечной точки. У них есть время для сканирования в архиве, если они могут, чтобы принять меры.
Предполагая, что архивный файл попал на диск, и произошел сбой на первой линии, или сигнатура / метод обнаружения являются новыми; как часть процесса распаковки сканер в режиме реального времени / при доступе будет сканировать каждый файл по мере его распаковки. Затем он будет считан сканером в реальном времени.
Архивные типы файлов обычно (по умолчанию) сканируются в конечной точке как часть при запланированном сканировании или по требованию, и обычно это происходит при получении сообщения, т.е. после завершения запланированного сканирования. Сканеры могут просто сказать, что он защищен паролем, если они не могут распаковать его, компонент в режиме реального времени подберет его здесь, когда пользователь предоставит пароль. Если они могут сканировать содержимое по требованию, продукты обычно сообщают полный путь к зараженному объекту в контейнере.
Большинство продуктов дают вам возможность настроить то, что происходит при обнаружении для каждого из обнаруженных компонентов, то есть сканирование в реальном времени, по требованию / по расписанию. Большинство из них пытаются сначала очистить угрозу, если была написана процедура очистки для рассматриваемой угрозы, а затем просто блокировать / изолировать, если не может быть предпринято никаких действий.
Как и раньше, с возможностью сканирования в реальном времени внутри архива; Обычно вы можете настроить автоматическое удаление файлов при обнаружении, но с риском ложного срабатывания большинство поставщиков не удаляют по умолчанию.
Таким образом, варианты для конечного пользователя являются одним или несколькими из следующих:
- Удалите весь архивный файл, если он вам не нужен. Примером может служить файл в каталоге Downloads, который вам не нужен.
- Если вы считаете, что это ложное срабатывание (возможно, в зависимости от возраста, имени обнаруженного файла, обнаруженного файла, местоположения на диске, требуемой интуиции и опыта), вы обычно можете отправить образец поставщику. Примечание. В зависимости от сигнатуры поставщика / метода обнаружения может потребоваться отправить весь архив, а не только файл внутри.
- Загрузите, возможно, как архив, так и обнаруженный объект, на virustotal.com в качестве второго мнения.
- Если вам нужны другие файлы в архиве, вам может потребоваться авторизовать / исключить файл и / или место назначения, чтобы распаковать его перед тщательным удалением обнаруженного элемента. Затем вы можете заархивировать его, но в зависимости от назначения архива вы можете просто сделать его бесполезным, если требуется обнаруженный компонент, который вы удалили.
Учитывая вышесказанное, я думаю, будет справедливо сказать, что большинство продуктов по умолчанию не перепаковывают архив, основанный на обнаружении компонента внутри. Однако, если существует вредоносная программа, распространяющаяся путем помещения себя, например, в контейнер docx, тогда поставщик, учитывая пример, может легко написать процедуру очистки, которая удалит только угрозу из архива. Поэтому я думаю, что ответ здесь не по умолчанию, а с учетом примера и достаточных причин, чтобы это сделать.