Avast WEBforum

Non-English Zone => Nederlands => Topic started by: Nightwish on October 14, 2013, 11:18:49 AM

Title: False positive?
Post by: Nightwish on October 14, 2013, 11:18:49 AM

Zodra ik de website van mijn paintball team wil bezoeken krijg ik sinds een aantal weken een melding dat deze geinfecteerd zou zijn. Ik krijg deze melding vanaf verschillende pc's met Avast geinstalleerd terwijl andere pc's (zelfs vanaf grote bedrijfsnetwerken) geen meldingen geven.
Is het mogelijk dat Avast een false positive geeft op deze website en zo ja, hoe kan ik dat omzeilen?
De melding die ik krijg is    JS:HideMe-J [Trj]

Title: Re: False positive?
Post by: Eddy on October 14, 2013, 11:27:22 AM

Ja, het is mogelijk dat het een false positive is, maar dat hoeft niet. Het kan ook zijn dat avast het juist wel detecteerd en anderen (nog) niet.
Geef a.u.b even de link, maar zorg ervoor dat niemand erop kan klikken. Verander http in b.v. hxxp.
Dan kan ik wat dingen controleren.

Title: Re: False positive?
Post by: Nightwish on October 14, 2013, 01:20:36 PM

De website is:
hxxp://www.blackbandits.nl

Title: Re: False positive?
Post by: Eddy on October 14, 2013, 07:05:37 PM

http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377 (http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377)
http://www.unmaskparasites.com/security-report/ (http://www.unmaskparasites.com/security-report/)

Dat zijn waarschijnlijk 2 (van de waarschijnlijk meer) redenen waarom de site geblocked wordt.
Hij is blacklisted en ze gebruiken een wel zeer oude Joomla versie.
Hierdoor zijn veel beveiligingsproblemen met Joomla niet gepatched en vormt de site dus een risico.

Als je wilt dat de mensen van avast er naar kijken, neem dan even contact met ze op:
http://www.avast.com/nl-nl/contact-form.php (http://www.avast.com/nl-nl/contact-form.php)

Title: Re: False positive?
Post by: jefferson sant on October 15, 2013, 01:44:44 PM

Quote from: Nightwish on October 14, 2013, 01:20:36 PM

De website is:
hxxp://www.blackbandits.nl

(http://i44.tinypic.com/idvp6o.jpg)


Deobfuscation resultaten
Evals
 
(http://i44.tinypic.com/2z520hs.jpg)
 
Writes
 
(http://i41.tinypic.com/35dcf90.jpg)

ziet er schoon nu

http://sitecheck.sucuri.net/results/www.blackbandits.nl/

Title: Re: False positive?
Post by: Eddy on October 15, 2013, 01:59:39 PM

Er staat duidelijk Unable to properly scan your site. Unable to connect.
Dat betekent natuurlijk niet dat de site schoon is.

http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377 (http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377)

Ze gebruiken ook een meer dan 2 jaar oude versie van Joomla en dat betekent dat er heel beveiligings risico's niet gepatched zijn.
Ook dat is een enorm veiligheids risico.

Title: Re: False positive?
Post by: polonus on October 15, 2013, 02:05:29 PM

Hallo Nightwish,

JS:HideMe[Trj] is meestal een juiste detectie van avast van een bepaalde vorm van SEO Spam malware in Joomla.
Zoek naar sporen in de code (hide-me etc.)
De IP van de site herbergt nogal wat actieve malware op andere domeinen,
dus dat kan ook een blacklisting of een algeheel IP blokkering opleveren.
Kijk hier maar eens: http://support.clean-mx.de/clean-mx/viruses.php?review=46.30.211.59&sort=first%20desc
Als ik naar de site wil gaan met jsunpack krijg ik  <urlopen error timed out>
Zee hier voor de code die gedetecteerd wordt: http://forum.joomla.org/viewtopic.php?f=621&t=812161
Er was genoeg van de code daar aanwezig om een avast ! Web Schild alert te geven voor JS:HideMe-J[Trj].

@Eddy, Unable to properly scan your site. Unable to connect, komt juist vanwege de schildblokkering door avast,
avast blokkeert bij het minste of geringste spoor van die specifieke code die het moet herkennen en je computer komt er dus niet eens
mee in aanraking en dat is pas echte beveiliging want je maakt geen kontakt met eventuele rotzooi daar,

D.

groetjes,

polonus

Title: Re: False positive?
Post by: jefferson sant on October 15, 2013, 02:15:27 PM

wordt nog steeds waarschuwingen
Bewerk uw bericht  " hxxp://forum.joomla.org/viewtopic.php?f=621&t=812161 "

(http://i43.tinypic.com/1zlei41.jpg)

Title: Re: False positive?
Post by: Nightwish on December 24, 2013, 03:18:00 PM

Hi, sorry het niet reageren. Maar inmiddels is de Joomla versie verhoogd naar 2.5.16 (uitgebracht november dit jaar), toch blijft avast meldingen geven.
AVG heeft nergens last van terwijl NOD32 ook problemen geeft.

Title: Re: False positive?
Post by: polonus on December 24, 2013, 03:43:21 PM

De avast! Webschild technologie is zeer geavanceerd en zeer accuraat met zijn SEO Spam misbruik detecties,
zoals eerder een HideMe variant detectie en nu dus die  JS;Clickjack-A trojan op deze site.
Avast derecteert en blokt dus: JS:Clickjack-A[Trj].
Het wordt content namelijk toestaan te zijn ingebed in een frame.
Een XFrame Optie header werd niet geretourneerd vanaf de server,
waarop de webstek draait.
De site is hiermee gevoelig voot clickjacking misbruik.

Voor een eventueel verwijderen van de gevonden malcode lees instructies hier:
http://forum.joomlacommunity.eu/showthread.php?p=100819 
De site werd gecompromitteerd en geinfecteerd via een PHP CMS module hack.

Zie ook-> http://jsunpack.jeek.org/?report=c8d48112728c7b78ea052544f95f8ff321474541

polonus