Acho que vale a pena algumas frases para comentar primeiro sobre como a maioria dos produtos de segurança aborda os arquivos:
A maioria dos scanners de tempo real / on-access do endpoint (por padrão) não verifica totalmente os arquivos devido à sobrecarga da descompactação em tempo real, além de os "containers" não representarem nenhuma ameaça "imediata". por isso, não vale a pena o desempenho para o ganho de apenas potencialmente detectar algo mais cedo.
Dito isso, a maioria dos produtos oferece uma opção para habilitar a verificação de arquivos em tempo real, mas, na maioria das vezes, isso não seria recomendado.
A maioria das soluções contém várias camadas para proteger o computador e para impedir que esse arquivo entre no computador na primeira instância. Por exemplo, a maioria das soluções tem um gancho para varrer os arquivos conforme eles são baixados pelo navegador e antes de serem gravados no disco, talvez em algum processo de proxy da web que fica na frente do processo do navegador. Como essa varredura não é tão sensível ao tempo, mais tempo pode ser tomado e a maioria teria detecção de "bomba-zip" para evitar o esgotamento de recursos, se esse fosse o "ataque".
Por exemplo, ninguém realmente se importa com 3 segundos extras em um download de arquivo, mas se um processo for impedido de ler um arquivo do disco por 3 segundos que não passará despercebido e você provavelmente sentirá o problema como uma solicitação de arquivo está temporariamente bloqueado no kernel, aguardando uma verificação de vírus. O mesmo pode ser feito para fazer o download de anexos de e-mail, mais uma vez a velocidade é menos preocupante.
Isso também vale para qualquer produto de segurança, como um appliance (web / email / etc ..) upstream do nó de extremidade. Eles têm tempo para digitalizar no arquivo, se puderem, para agir.
Assumindo que o arquivo de arquivamento chegou ao disco e a linha de frente falhou ou a assinatura / método de detecção é nova; Como parte do processo de descompactação, o scanner em tempo real / em acesso verificaria cada arquivo à medida que fosse descompactado. Ele seria selecionado pelo scanner em tempo real.
Os tipos de arquivo de arquivamento geralmente são (por padrão) verificados no endpoint como parte de verificações agendadas ou sob demanda, e geralmente é quando você recebe a mensagem, ou seja, após a conclusão de uma verificação agendada. Os scanners podem apenas dizer que são protegidos por senha se não puderem ser descompactados, o componente em tempo real irá buscá-lo aqui quando o usuário fornecer a senha. Se eles puderem digitalizar o conteúdo sob demanda, os produtos geralmente relatam um caminho completo para o objeto infectado no contêiner.
A maioria dos produtos oferece a opção de configurar o que acontece na detecção de cada um dos componentes detectados, ou seja, verificações agendadas / sob demanda em tempo real. A maioria tenta limpar a ameaça primeiro se uma rotina de limpeza tiver sido escrita para a ameaça em questão, antes de bloquear / colocar em quarentena, se nenhuma ação puder ser executada.
Como antes, com a opção de arquivamento dentro do arquivo em tempo real; normalmente você pode configurar para excluir arquivos automaticamente na detecção, mas com o risco de um falso positivo, a maioria dos fornecedores não será excluída por padrão.
Assim, as opções para o usuário final são uma ou mais das seguintes opções:
- Exclua todo o arquivo, caso não seja necessário. Um exemplo pode ser um arquivo no seu diretório Downloads que você não precisa.
- Se você acha que é um falso positivo (talvez com base na idade, nome da detecção, arquivo detectado, local no disco, intuição e experiência necessárias), geralmente é possível enviar uma amostra ao fornecedor. Nota: Dependendo da assinatura / método de detecção dos fornecedores, pode ser necessário enviar o arquivo inteiro em vez de apenas o arquivo.
- Carregue talvez o arquivo e o objeto detectado no virustotal.com como segunda opinião.
- Se você precisar dos outros arquivos no arquivo, eles podem precisar autorizar / excluir o arquivo e / ou o local de destino para descompactá-lo antes de excluir cuidadosamente o elemento detectado. Você pode, então, fazer o backup, mas, dependendo da finalidade do arquivamento, você pode ter acabado de torná-lo inútil se o componente detectado removido for necessário.
Dado o acima, acho que é justo dizer que a maioria dos produtos não re-empacota um arquivo com base na detecção de um componente. Se, no entanto, houver um malware que se espalhe colocando-se um contêiner docx, o fornecedor, com uma amostra, poderia facilmente criar uma rotina de limpeza que removeria apenas a ameaça do arquivo. Então, acho que a resposta aqui não é por padrão, mas dá uma amostra e uma razão suficiente para fazer isso.