Просмотр полной версии : Антивирус ругается
При щелчке на разделе "Для начинающих" авира ругается на HEUR/HTML.Malware.
С остальными разделами все в порядке.
какой антивирь ? версия ? за какое число базы ?
проверено на AVG, AVP, DrWEB,Avast с последними обновлениями - никаких проблем не выявлено...
Юрий(UR5VEB)
04.08.2009, 16:24
Давно уже это отмечал на форуме http://forum.cqham.ru/download.php?id=4499 2
Но никто так и не обратил на это внимания. Может это и ложное срабатывание... Проверял с помощью сайтов, заточенных на проверку страниц сайтов с подозрением на вирус, но они все тоже ничего не замечают. Просто пропускаю. Как будто все в норме...
Давно пора во-первых, саму Avira до 9-й версии обновить, да и базу с 7-й версии тоже. На 9-й никакой ругани нет, а сразу отсекает Malware. В скрипте что-то не то, но поправить может только админ.
Касперский не ругается. Из дому зашел нормально. Подозрительного кода при ручном анализе страницы не обнаружил. Похоже корпоративная Авира параноит. Завтра посмотрю снова с работы.
какой антивирь ? версия ? за какое число базы ?
Avira AntiVir Professional
Версия продукта 8.2.0.95 25.05.2009
Ядро 8.02.00.240 03.08.2009
Файл вирусных сигнатур (VDF) 7.01.05.71 04.08.2009
Но это скорее всего просто ложное срабатывание на теги iframe баннеров.
К сожалению, не ложное срабатывание. Там реальный malware, которое ловит Avira 9-й версии. Обновись до бесплатной версии, затем зайди на страничку, так тебе весь дамп в лог свалится, если опцию включишь. Пускай админ посмотрит секции по PHP, все будет ясно. К тому же и в других местах есть iframe, но срабатывает только здесь, пока.
В коде страницы нераспознанных ява-скриптов и невидимых фреймов нет. Почему Авира реагирует именно на этот раздел - вопрос к разработчикам ее эвристического алгоритма.
В PHP искать смысла нет - т.к. все разделы форума собираются по одним шаблонам, одними и теми же функциями.
Подобного рода мальварь может быть внедрена средствами XSS - но на возвращаемой странице ничего подобного не обнаружил.
Накатывать корпоративную авиру до 9-й версии, так же как и ставить ее дома (меня Касперский вполне устраивает) смысла не вижу - если сам не можешь разобраться в логе и четко указать мальварь - выложи лог сюда. Посмотрю.
Уважаемые посетители!
Я попытался разобраться в ситуации и предположил, что происходит это при работе скрипта на adriver.ru (баннер в верхней части страниц форума). После запроса анализа, получил от уважаемой поддержки следующий ответ:
Из высказываний в указанных Вами темах видно, что реагирует на страницу один
антивирус, и присваивает ему название HEUR/HTML.Malware, его описание есть на
странице
http://www.avira.com/en/threats/section/fulldetails/id_vir/4142/heur_html.malware.ht ml
Судя по описанию, это эвристическая оценка кода (скорее всего,
javascript-кода), учитывающая стиль, в котором он написан. Если развернуть
javascript в первой части баннера, и перейти по такой ссылке, то можно будет
увидеть страницу с баннером и некоторым количеством javascript-кода. Этот код
подвергнут обфускации (намеренное затруднение читабельности), что характерно
для кода, вставляемого в заражаемые страницы. Наверное, поэтому и такая
реакция антивируса. Я проверил этот код, вроде бы всё безопасно - при
выполнении он ведёт на сервера adriver.ru, видимо, там сложная система
аккаунтинга просмотров и кликов.
Итого: думаю, что это всё-таки ложное срабатывание.
К тому же, вызывает вопросы классификация html(javascript)-кода как вируса.
Вирусом является то, к чему ведёт выполнение этого кода. Один и тот же
простейший iframe может в одно время быть безопасным, а после загрузки по
адресу, куда он указывает, настоящего вируса - стать опасным.
Скорее всего, следует сообщить разработчикам антивируса о ложном срабатывании.
Делайте выводы сами.
PS. По поводу Avira, - я распрощался с ним несколько лет назад. Мое первое, радостное впечатление, что он что-то находил после других антивирусных программ, постепенно сменилось на раздражение. Создалось впечатление, что авторы умышленно "повысили чувствительнось" программы для фиктивного поднятия ее рейтинга.
Это было мое личное мнение...
Мое первое, радостное впечатление, что он что-то находил после других антивирусных программ, постепенно сменилось на раздражение. А раздражение чем было вызвано? Он находил больше чем надо?
Честно говоря я очень недоволен решением сменить антивирус в конторе с Касперского на Авиру. К сожалению, от моего решения это мало зависит - т.к. софт у нас внедряется централизованно.
Сообщение админа подтвердило мнение о ложном срабатывании.
Тему можно закрывать.
ex RL7/ A-Ata
22.01.2010, 20:35
18ч.14мин. в теме "Подскажите по 3х конт.ДПФ" заскочил вирус ТРОЯН...АВИРА его в корзину. Прошло со следующей надписью"...ТP/Unpacket.Gen...Quell e C://Program../46FDFD 05.vbt.."
Честно говоря, единственные "ложные" срабатывания которые я заметил у авиры, это нетерпимость ко всякого рода патчам и крякам. Но если логичски, дык никакие это не ложные... :crazy:
А вот декабрьская эпидемия iLite Net Accelerator более суток блокировалась ТОЛЬКО авирой, остальные ативири ничего не видели и только позже очухались. Так что по мне лучше пара ложных окриков, чем один пропущенный мерзавец... :D Я сам разберусь, в каких случаях тревога ложная.
Сообщение админа подтвердило мнение о ложном срабатывании.
Тему можно закрывать.
Угу. В декабрьской теме тоже поначалу уверяли что все в порядке. Пока дым не пошел. :lol:
Alex rw9wt
23.01.2010, 08:46
adriver.ru
Вот как раз AdRiver.dll залетел ко мне как-то.
Отнюдь не ложное срабатывание!
Powered by vBulletin® Version 4.1.12 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot