Avast WEBforum

Avast Products => Non-english zone => Italiano => Topic started by: rmasini on September 03, 2013, 01:20:02 PM

Title: Sito web infetto falso positivo.
Post by: rmasini on September 03, 2013, 01:20:02 PM
Salve,
il sito web www.ordineingegneri.av.it viene indicato come infetto, ho provato a afrlo controllare con:
1. Strumenti Webmaster di google e risulta pulito;
2. Con virustotal.com e risulta pulito:  https://www.virustotal.com/it/url/1f84451967b115d4ee96038d39381f81c9b57fc7475e9cc748927baa4e10abf8/analysis/1378207066/
3. Con http://unmaskparasites.com/ e risulta pulito.
Cosa devo fare per farvelo levare dalla black list?
Grazie
Roberto Masini
Title: Re: Sito web infetto falso positivo.
Post by: giogio on September 03, 2013, 02:07:31 PM
Ciao e benvenuto,
in effetti sembra pulito usando anche altri scanner.
Fai la segnalazione qui

http://www.avast.com/it-it/contact-form.php

e selezioni Segnala un allarme virus falso sul web
Title: Re: Sito web infetto falso positivo.
Post by: Giony on September 03, 2013, 04:43:43 PM
ma come mai avast rileva tutta questa marea di siti puliti come infetti??!!! c'è qualcosa che non va di base
interviene la protezione di rete della quale non è possibile modificarne le impostazioni
Title: Re: Sito web infetto falso positivo.
Post by: jblane on September 04, 2013, 07:06:17 PM
Io ho installato Avast da qualche giorno, dopo aver avuto Avira per anni.
Lo premetto perché sono soddisfatto ma questa storia dei falsi positivi sui siti comincia a infastidirmi.
Oggi, nel giro di 5 minuti:
1) Non posso visitare il sito wxw.easy-life.com perché dato come infetto da JS:HideMe-I [Trj]
(tutte le altre scansioni online del sito lo danno come "pulito")
2) Dal sito ufficiale di WinRAR, nella sezione download (http://wxw.rarlab.com/download.htm), se clicco sulla versione italiana 4.20 (x32) per scaricarla ricevo il messaggio di virus rilevato! (Win32:Evo-gen [Susp])
Title: Re: Sito web infetto falso positivo.
Post by: giogio on September 04, 2013, 08:01:26 PM
Ciao e benvenuto:
1) http://sitecheck.sucuri.net/results/www.easy-life.com
http://zulu.zscaler.com/submission/show/016385d71b9a73d94194b27ecb79cc06-1378312595

2) https://www.virustotal.com/it/file/778d191632d27a1cd9f4dbaf465078f49aad7a9b8f8a4fca13487ced38ac9146/analysis/1378317477/
anche trend micro e symantec lo bloccano
Ti consiglio di scaricare la versione non localizzata, la 5.0 sembra ok http://www.rarlab.com/rar/wrar500.exe
https://www.virustotal.com/it/file/324a19f61919103f9596203206ced9548c3b7600df66418cb6769c4b57ae2523/analysis/

Io preferisco avere un allarme da parte di avast. Poi magari è un falso positivo ma è facile fare la segnalazione come ho spiegato sopra...

ps
per favore edita il tuo primo post ed interrompi il collegamento di easy-life in questo modo wxw.easy-life.com


Title: Re: Sito web infetto falso positivo.
Post by: jblane on September 05, 2013, 02:39:52 PM
Grazie per la risposta, anche se non capisco perché in quel sito risultano script infettati quando tutti i maggiori scanner di siti (mcafee, norton, virustotal, ecc.) non danno quel risultato.
Sitecheck e Zulu.scaler mi danno l'impressione di voler calcare la mano sulla "sospettosità" di quegli script perché forniscono servizi a pagamento di controllo antivirus dei siti.

Quanto a WinRar, sono mesi che è uscita la versione 4.20 localizzata in italiano. Possibile che in questi mesi nessuno abbia segnalato un falso positivo ad Avast o una "sospetta" compressione del self-extract a WinRar?

Approfitto della tua gentilezza per un'ultima domanda: perché quando tento di scaricare quel file (winrar italiano) e ho la possibilità di segnalare il falso positivo, premendo su "Invia" ricevo il messaggio "La sintassi del nome del file, della directory o del volume non è corretta", di fatto impedendomi di segnalare automaticamente il file come falso positivo?
Title: Re: Sito web infetto falso positivo.
Post by: giogio on September 05, 2013, 03:39:00 PM
Grazie per la risposta, anche se non capisco perché in quel sito risultano script infettati quando tutti i maggiori scanner di siti (mcafee, norton, virustotal, ecc.) non danno quel risultato.
Sitecheck e Zulu.scaler mi danno l'impressione di voler calcare la mano sulla "sospettosità" di quegli script perché forniscono servizi a pagamento di controllo antivirus dei siti.
E' già successo che siti sviluppati con joomla se non sono aggiornati sono a rischio ed infatti Sucuri sitecheck lo segnala.
Inoltre virustotal non garantisce al 100% l'assenza di malaware.

Quanto a WinRar, sono mesi che è uscita la versione 4.20 localizzata in italiano. Possibile che in questi mesi nessuno abbia segnalato un falso positivo ad Avast o una "sospetta" compressione del self-extract a WinRar?
Infatti non è detto che sia un falso positivo, come ho detto anche symantec e trend micro lo segnalano, la versione 5 non ha problemi invece, io utilizzerei quella


Approfitto della tua gentilezza per un'ultima domanda: perché quando tento di scaricare quel file (winrar italiano) e ho la possibilità di segnalare il falso positivo, premendo su "Invia" ricevo il messaggio "La sintassi del nome del file, della directory o del volume non è corretta", di fatto impedendomi di segnalare automaticamente il file come falso positivo?

Perchè se non interrompi la protezione web e file system, avast appena rileva la traccia di virus lascia solo un file diciamo cosi, "temporaneo" e non completo.
Non è quello da mandare come falso positivo, ma appunto interrompendo le protezioni, scaricare il file e mandarlo.
Secondo me il problema è che la nuova versione 5 non è stata ancora localizzata e quindi io non mandereri ad avast come falso positivo..


Ciao
Title: Re: Sito web infetto falso positivo.
Post by: rmasini on September 10, 2013, 01:22:35 PM
Salve,
tornado al post che ho aperto io ho contattato avast tramite il modulo indicato ma ho ricevuto solo la seguente mail il 05.09.2013:
"Hello,
I did not even reply to my e-mail. I will be grateful for an answer as soon as possible.
  thanks"
Ha cui ho risposto in giornata ma ad oggi non ho avuto ancora nessuna risposta, qualcuno mi può essere d'aiuto?
Grazie
Roberto Masini
Title: Re: Sito web infetto falso positivo.
Post by: Giony on September 10, 2013, 03:27:14 PM
allora, se sei sicuramente sicuro che il sito sia sicuro, puoi inserire il sito nelle esclusioni globali ma così ogni movimento infetto non sarà controllato da avast ma sarai in grado di girare liberamente per il sito:
vai in impostazioni in alto a dx poi esclusioni globali e nell'url inserisci: http://www.ordineingegneri.av.it/*
Title: Re: Sito web infetto falso positivo.
Post by: rmasini on September 10, 2013, 09:16:18 PM
Ciao,
il problema non è il mio ma degli altri ingegneri di Avellino che vogliono andare sul sito e non si fidano visto che avast l'ha bollato come infetto ma come ho già scritto:
Salve,
il sito web www.ordineingegneri.av.it viene indicato come infetto, ho provato a afrlo controllare con:
1. Strumenti Webmaster di google e risulta pulito;
2. Con virustotal.com e risulta pulito:  https://www.virustotal.com/it/url/1f84451967b115d4ee96038d39381f81c9b57fc7475e9cc748927baa4e10abf8/analysis/1378207066/
3. Con http://unmaskparasites.com/ e risulta pulito.
Cosa devo fare per farvelo levare dalla black list?
Grazie
Roberto Masini

e come ho ora ricontrollato il sito non è infetto.
Grazie 
Title: Re: Sito web infetto falso positivo.
Post by: giogio on September 10, 2013, 10:08:49 PM
Ciao,
ho provveduto a reinoltrare la tua segnalazione, spero che la sistemino al più presto  ;)

EDIT
Ho provato oggi ed avast non lo blocca più
Title: Re: Sito web infetto falso positivo.
Post by: rmasini on September 11, 2013, 12:06:45 PM
Grazie
Roberto Masini
Title: Re: Sito web infetto falso positivo.
Post by: pocket59 on October 06, 2013, 08:48:37 AM
Ciao a tutti
E' da diversi anni che utilizzo avast e mi trovo a meraviglia.
visualizzo da molto tempo il sito dasolo.info e solo da pochi giorni mi segnala continuamente il seguente messaggio di errore:
URL:   http://www.dasolo.info/
Processo:   C:\Programmi\Mozilla Firefox\firefox.exe
Infezione:   HTML:Script-inf
chiedo aiuto. E' un errore momentaneo oppure non potrò visualizzarlo mai più?
Grazie
Massimo
Title: Re: Sito web infetto falso positivo.
Post by: giogio on October 06, 2013, 11:10:17 AM
Ciao a tutti
E' da diversi anni che utilizzo avast e mi trovo a meraviglia.
visualizzo da molto tempo il sito dasolo.info e solo da pochi giorni mi segnala continuamente il seguente messaggio di errore:
URL:   http://www.dasolo.info/
Processo:   C:\Programmi\Mozilla Firefox\firefox.exe
Infezione:   HTML:Script-inf
chiedo aiuto. E' un errore momentaneo oppure non potrò visualizzarlo mai più?
Grazie
Massimo

Ciao e benvenuto,
sembra che il sito sia blacklistato da sophos
http://sitecheck.sucuri.net/results/www.dasolo.info/
https://www.virustotal.com/it/url/dc2a112d69cd1567fd36e4790afc76f8fd76cc567a7cf86b75c77561596d9db3/analysis/1381049340/
inoltre contiene collegamenti a questo altro sito sospetto
https://www.virustotal.com/it/url/20a1b82d899b6d4735840da7f2c8c8e155b047982feea5fe5a776ec5cf00a78f/analysis/1381050118/
di solito il problema di blacklist viene risolto dal web master.
Riproverei tra una settimana e vedere se ti viene ancora segnalato da avast.
Title: Re: Sito web infetto falso positivo.
Post by: Giony on October 06, 2013, 11:23:59 AM
Ciao a tutti
E' da diversi anni che utilizzo avast e mi trovo a meraviglia.
visualizzo da molto tempo il sito dasolo.info e solo da pochi giorni mi segnala continuamente il seguente messaggio di errore:
URL:   http://www.dasolo.info/
Processo:   C:\Programmi\Mozilla Firefox\firefox.exe
Infezione:   HTML:Script-inf
chiedo aiuto. E' un errore momentaneo oppure non potrò visualizzarlo mai più?
Grazie
Massimo

ho fatto un controllo e secondo me il sito è pulito.
il file che dà fastidio ad avast è  http://google-statistics.ru/js/77e974d45ef1d047fe875d43ff5982fc.js  (infatti se clicchi sul link avast si smobilita :) )
ho segnalato ad avast il file .js inserito nel sito che viene segnalato da avast, come pulito e dovrebbero "liberarlo" nel giro di un paio di gg (ovviamente se lo ritengono pulito).
Title: Re: Sito web infetto falso positivo.
Post by: giogio on October 06, 2013, 11:52:37 AM
anche quello in effetti viene bloccato da bitdefender, kaspersky e sophos...
https://www.virustotal.com/it/url/e972bd5e7268e0e504b53be79b37ebd584acdf4d628ce2241b7894271b1a2bc1/analysis/1381053085/

ciao
Title: Re: Sito web infetto falso positivo.
Post by: Giony on October 06, 2013, 12:11:54 PM
anche quello in effetti viene bloccato da bitdefender, kaspersky e sophos...
https://www.virustotal.com/it/url/e972bd5e7268e0e504b53be79b37ebd584acdf4d628ce2241b7894271b1a2bc1/analysis/1381053085/

ciao
eh allora può darsi che avast sia in gamba e sia riuscito a identificare un forse zeroday malware :)
te pensa che appena prima di scrivere il post di prima (ho fatto un controllo e secondo me il sito è pulito. scritto alle 11:23)  avevo fatto scansionare quel .js del link da virustotal e nessuno lo rilevava come infetto, adesso si quindi dovrebbe significarsi che si tratta di un zeroday appena individuato da avast (allora il primo) e dopo da altri tre av.
Title: Re: Sito web infetto falso positivo.
Post by: giogio on October 06, 2013, 02:19:49 PM
anche quello in effetti viene bloccato da bitdefender, kaspersky e sophos...
https://www.virustotal.com/it/url/e972bd5e7268e0e504b53be79b37ebd584acdf4d628ce2241b7894271b1a2bc1/analysis/1381053085/

ciao
eh allora può darsi che avast sia in gamba e sia riuscito a identificare un forse zeroday malware :)
te pensa che appena prima di scrivere il post di prima (ho fatto un controllo e secondo me il sito è pulito. scritto alle 11:23)  avevo fatto scansionare quel .js del link da virustotal e nessuno lo rilevava come infetto, adesso si quindi dovrebbe significarsi che si tratta di un zeroday appena individuato da avast (allora il primo) e dopo da altri tre av.

:)
Title: Re: Sito web infetto falso positivo.
Post by: pocket59 on October 07, 2013, 06:25:56 AM
Ciao e benvenuto,
sembra che il sito sia blacklistato da sophos
http://sitecheck.sucuri.net/results/www.dasolo.info/
https://www.virustotal.com/it/url/dc2a112d69cd1567fd36e4790afc76f8fd76cc567a7cf86b75c77561596d9db3/analysis/1381049340/
inoltre contiene collegamenti a questo altro sito sospetto
https://www.virustotal.com/it/url/20a1b82d899b6d4735840da7f2c8c8e155b047982feea5fe5a776ec5cf00a78f/analysis/1381050118/
di solito il problema di blacklist viene risolto dal web master.
Riproverei tra una settimana e vedere se ti viene ancora segnalato da avast.
[/quote]

ho fatto un controllo e secondo me il sito è pulito.
il file che dà fastidio ad avast è  http://google-statistics.ru/js/77e974d45ef1d047fe875d43ff5982fc.js  (infatti se clicchi sul link avast si smobilita :) )
ho segnalato ad avast il file .js inserito nel sito che viene segnalato da avast, come pulito e dovrebbero "liberarlo" nel giro di un paio di gg (ovviamente se lo ritengono pulito).
[/quote]

Ringrazio per l'aiuto e la segnalazione. Rimango in attesa di nuovi eventi.
Massimo
Title: Re: Sito web infetto falso positivo.
Post by: Giuseppe T. (Italy) on October 12, 2013, 06:06:24 PM
Ciao mi chiamo Giuseppe,

purtroppo noto che il problema è generalizzato (non avevamo dubbi), il fatto è che non rispondono ai ticket (ne abbiamo aperti...), non si riesce a parlare con nessuno.

Lo scopo dovrebbe essere quello di AIUTARE, può accadere di essere attaccati sia chiaro, però se NON danno motivazioni tecniche non sono di nessun aiuto ma anzi, io gliel'ho scritto proprio ieri ed oggi, in Italia si chiama diffamazione.

Abbiamo anche chiesto di NON bloccare i siti basandosi su altri siti che sono anch'essi fraudolenti, ma di scrivere sempre prima ai postmaster, se poi il postmaster non risponde allora che facciano ciò che ritengono (dando sempre però motivazioni tecniche, se no la loro non è utilità ma diffamazione).

Mi fermo qua perchè ho i nervi a mille, ad alcuni nostri clienti abbiamo detto di rimuoverlo e di passare ad altro, è semplicemente assurdo che dopo 5gg ci si trovi ancora il sito bloccato e nessuno che risponda.

Ribadisco la bontà e l'idea di fondo, ma devono aiutare gli onesti e punire i disonesti, non punire i disonesti e tirare dentro anche chi spende ore, tempo e denaro (magari pagando consulenti che non trovano nulla) per magari scoprire poi che.... non hai nulla.

La volete sapere una cosa tristemente divertente?
Abbiamo due siti che puntano alle medesime risorse, in pratica è un pippo.it e pippo.com (per farmi capire) enrambi puntano allo stessa ase dati, stesso sito fisico, insomma sono la stessa cosa.... bene, per il .com rilevano virus e bloccano per il .it -> NO
Se questo è logico... oggettivo ed obbiettivo... qualcuno me lo spieghi

Spero che ci si aiuti, che si cresca e che non sia mai Avast una fonte di segnalazioni false, me lo auguro con tutto il Cuore.

Speriamo e vediamo che cosa faranno... nel frattempo ho risegnalato il nostro ticket, riscritto sul form, riscritto sul forum...

Mi spiace e sono davvero disperato!


Giuseppe
Title: Re: Sito web infetto falso positivo.
Post by: Giony on October 13, 2013, 09:56:47 AM
un sito è composto da parecchi file e fra i più "pericolosi" sono quelli script e java. A volte sono pericolosi e altre volte sono sospetti rilevati ma non propriamente pericolosi.
Quando avast rileva un sito ad esempio a causa di uno di quei file è possibile segnalarli al laboratorio per determinare se effettivamente sono virus o puliti. Ovviamente se poi saranno determinati come puliti non saranno più segnalati. Non occorre aprire un ticket è sufficiente cliccare su un bottone... hai premuto questo bottone della segnalazione di un file/sito? se mi dici i due siti al rilevamento ci posso cliccare io sulla segnalazione.
Title: Re: Sito web infetto falso positivo.
Post by: pocket59 on November 11, 2013, 05:59:07 AM
Ciao a tutti.
Anche se sono passati molti giorni dall'ultimo messaggio non credo che sia opportuno aprire un nuovo topic, ma vorrei continuare a sottolineare che il sito "dasolo.info" viene segnalato ancora come malevolo. Eppure fino ad oggi sono entrato nel sito continuamente e non è successo niente. Ho scansito a più riprese e non mi è stato notato nulla di anomalo. Chiedo cosa debbo fare a questo punto: se abbandonare definitivamente il sito, oppure se c'è un altro modo per riuscire a visualizzarlo.
Grazi
Massimo

Scusate ma solo ora mi sono accorto che anche google riporta che tale sito è stato inserito come sito malevolo
http://www.google.com/safebrowsing/diagnostic?site=http://www.dasolo.info/&hl=it
Title: Re: Sito web infetto falso positivo.
Post by: giogio on November 11, 2013, 08:43:21 AM
Scusate ma solo ora mi sono accorto che anche google riporta che tale sito è stato inserito come sito malevolo
http://www.google.com/safebrowsing/diagnostic?site=http://www.dasolo.info/&hl=it

si anche qui
http://sitecheck.sucuri.net/scanner/?scan=www.dasolo.info

ciao
Title: Re: Sito web infetto falso positivo.
Post by: pocket59 on November 11, 2013, 02:12:48 PM
Scusate ma solo ora mi sono accorto che anche google riporta che tale sito è stato inserito come sito malevolo
http://www.google.com/safebrowsing/diagnostic?site=http://www.dasolo.info/&hl=it

si anche qui
http://sitecheck.sucuri.net/scanner/?scan=www.dasolo.info

ciao

quindi questo vuol dire che il sito è  malevolo e non bisogna andarci? oppure provvederanno a renderlo "buono"?
Infatti nella home pag (di "dasolo.info") appariva il messaggio che ciò non era vero, in quanto era una segnalazione errata.
Grazie
Massimo
Title: Re: Sito web infetto falso positivo.
Post by: giogio on November 11, 2013, 02:27:44 PM
Si anche l'altra volta avevano scritto cosi sull'home page o sul forum.
Ma come vedi ci sono più fonti che dicono che tale sito è sospetto o contiene link a siti blacklistati.
https://www.virustotal.com/it/url/dc2a112d69cd1567fd36e4790afc76f8fd76cc567a7cf86b75c77561596d9db3/analysis/

ciao
Title: Re: Sito web infetto falso positivo.
Post by: pocket59 on November 12, 2013, 07:30:42 AM
Si anche l'altra volta avevano scritto cosi sull'home page o sul forum.
Ma come vedi ci sono più fonti che dicono che tale sito è sospetto o contiene link a siti blacklistati.
https://www.virustotal.com/it/url/dc2a112d69cd1567fd36e4790afc76f8fd76cc567a7cf86b75c77561596d9db3/analysis/

ciao

ciao e scusa se riporto altro messaggio.
Ho provato, così tanto per vedere, e oggi avast non segnala che il sito è malevolo.
Massimo
Title: Re: Sito web infetto falso positivo.
Post by: giogio on November 12, 2013, 08:17:50 AM
Avranno sistemato, in quanto anche google ora non lo segnala piu ora e neanche ci sono tutti i sopsetti su virustotal
https://www.virustotal.com/it/url/dc2a112d69cd1567fd36e4790afc76f8fd76cc567a7cf86b75c77561596d9db3/analysis/1384240639/

ciao