FALSO POSITIVO

[danielariasc]

Hola Estimados.
Tengo un sitio ccc.lamedialuna.cl que tiene algunos años de edad, hace un tiempo a empezado a lanzarme un error diciendo que tiene un troyano.
Este evento sucede al seleccionar un producto para poder visualizarlo con detalles, al momento de iniciar el popup lanza una alarma de troyano.

la alerta que me entrega es la siguiente

&p_prc=C:\Users\Inform%C3%A1tica\AppData\Local\Google\Chrome\Application\chrome.exe&p_obj=http://www.lamedialuna.cl/include/asp/funciones.asp?opcion=11%26id=155%26width=undefined&p_var=.%2Ffa%2Fes-ww%2Fvirus-alert-default&p_pro=0&p_vep=7&p_ves=0&p_lqa=0&p_lsu=24&p_lst=0&p_lex=87&p_lng=es&p_lid=es-ww&p_elm=7&p_vbd=1456]http://www.avast.com/es-ww/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_70_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fes-ww%2Fvirus-alert-default&p_vir=PHP:Agent-GA%20[Trj]&p_prc=C:\Users\Inform%C3%A1tica\AppData\Local\Google\Chrome\Application\chrome.exe&p_obj=http://www.lamedialuna.cl/include/asp/funciones.asp?opcion=11%26id=155%26width=undefined&p_var=.%2Ffa%2Fes-ww%2Fvirus-alert-default&p_pro=0&p_vep=7&p_ves=0&p_lqa=0&p_lsu=24&p_lst=0&p_lex=87&p_lng=es&p_lid=es-ww&p_elm=7&p_vbd=1456

lo raro es que en linux, en mac , ni en PC con otro antivirus lanza la alarma.

Alguna idea?

SALUDOS!

[iroc9555]

Danielariasc bienvenid@ al foro.

Por favor edita la URL y hazla inactiva. Cambia WWW por XXX.lamedialuna.cl no queremos que nadie clickee una direccion web potencialmente infecciosa.

Este evento sucede al seleccionar un producto para poder visualizarlo con detalles, al momento de iniciar el popup lanza una alarma de troyano.

¿ Y cual es ese producto ? Puede ser que la alerta no es tu pagina web pero el programa que seleccionas.

Puedes reportarla aqui como F/P: http://www.avast.com/es-es/contact-form.php?loadStyles

O puedes buscar ayuda en la seccion de virus and worms donde te pueden asegurar si de verdad es un F/P y es mas rapido que un miembro del equipo de Avast la vean.

http://forum.avast.com/index.php?board=4.0

[danielariasc]

iroc9555 gracias por tu respuesta.

Te cuento, son todos los productos de la pagina los que muestran la alerta de troyano al hacer click en la imagen para ver el detalle. Al hacer click el sitio llama a un funcion de javascript que hace una llamada a una funcion de asp que carga los datos solicitados. te pego el trozo de codigo que genera el mensaje.

inicio funcion

if(dato[1] == "1"){   
    var enProceso = false;
    var http = getHTTPObject();
    if(!enProceso && http){
     var url ="include/asp/funciones.asp?opcion=11&id="+dato[0]+"&width="+width;
     http.open("GET",url, true);
     document.getElementById("frameCargar").innerHTML = "<img src='img/cargando3.gif' width='16' height='16'>";
     http.onreadystatechange = function() {
     if (http.readyState == 4) {
      if (http.status == 200){
        document.getElementById("frameCargar").innerHTML = http.responseText;
        enProceso = false;
         }
        }
      };
     enProceso = true;
     http.send(null);
      }
  }

fin funcion

tengo varios sitios mas, y esta funcion la he ocupado en varios de ellos, y no me arroja este error, he agotado todas las posibilidades y lo unico que me queda es pensar que solo Avast lo detecta como potencial troyano. Especificamente el error lo envia en la ultima linea "http.send(null)"

Hechare un ojo a los link que me dejaste.

Saludos cordiales

[iroc9555]

Dejame ver si alguien quiere echarle una mirada a tu pagina.

------------------------------------------------------------------------------------------

Could you please check this URL and see why Avast! Web Shield is alerting a PHP:Agent-GA [Trj] infeccion . The owner says it must be a F/P.

-http://www.lamedialuna.cl

Thanks.

[polonus]

Dejame ver si alguien quiere echarle una mirada a tu pagina.

------------------------------------------------------------------------------------------

Could you please check this URL and see why Avast! Web Shield is alerting a PHP:Agent-GA [Trj] infeccion . The owner says it must be a F/P.

-http://www.lamedialuna.cl

Thanks.

See:
wXw.lamedialuna.cl/include/js/prototype.js benign
[nothing detected] (script) wXw.lamedialuna.cl/include/js/prototype.js
     status: (referer=wXw.lamedialuna.cl/)saved 126132 bytes 1703adc185bd3af6e8dec62e343907805fdf342f
     info: ActiveXDataObjectsMDAC detected Microsoft.XMLHTTP
     info: [script] :
     info: [decodingLevel=0] found JavaScript
     suspicious
Think it is for the IP  IDS alert given as "FILEMAGIC Macromedia Flash data (compressed)"
Misused server according to logs...
Registered socket 9 for persistent reuse......blackhole exploit and malicious injections detected on that Autonomous System
The detection mentioned is for a Blackhole exploit variety...
Nothing here: http://vurldissect.co.uk/default.asp?url=http%3A%2F%2Fwww.lamedialuna.cl&btnvURL=Dissect&selUAStr=1&selServer=1&ref=&cbxLinks=on&cbxSource=on&cbxBlacklist=on

User should file a FP report to avast to report possible FPs here: http://www.avast.com/contact-form.php?loadStyles

Then it is up to avast analysts,

polonus

[iroc9555]

Thanks Polonus.

I already told him to report it as F/P but was not sure.

-----------------------------------------------------------------------------------------------------------------------------

Reportalo como te dije como F/P y veamos que dice Avast!

http://www.avast.com/es-es/contact-form.php?loadStyles

Polonus dice que puede ser por el IP FILEMAGIC Macromedia Flash data comprimido y tambien tiene unos reportes de maluso del socket 9 por uso repetido...con explotaciones de blackholes e injecciones maliciosas en el sistema autonomo.

Suerte

[danielariasc]

iroc9555 gracias por tu ayuda!!

Te cuento que ya envié el reporte a Avast asi que cuando tenga su respuesta te la informo.

Saludos y muchas gracias de nuevo por ayudarme tanto.-

[iroc9555]

iroc9555 gracias por tu ayuda!!

Te cuento que ya envié el reporte a Avast asi que cuando tenga su respuesta te la informo.

Saludos y muchas gracias de nuevo por ayudarme tanto.-

De nada. Un placer. Buena suerte.