Author Topic: FALSO POSITIVO  (Read 5661 times)

0 Members and 1 Guest are viewing this topic.

danielariasc

  • Guest
« Last Edit: August 23, 2012, 04:49:47 PM by danielariasc »

iroc9555

  • Guest
Re: FALSO POSITIVO
« Reply #1 on: August 23, 2012, 01:41:54 AM »
Danielariasc bienvenid@ al foro.

Por favor edita la URL y hazla inactiva. Cambia WWW por XXX.lamedialuna.cl no queremos que nadie clickee una direccion web potencialmente infecciosa.

Este evento sucede al seleccionar un producto para poder visualizarlo con detalles, al momento de iniciar el popup lanza una alarma de troyano.


¿ Y cual es ese producto ? Puede ser que la alerta no es tu pagina web pero el programa que seleccionas.

Puedes reportarla aqui como F/P: http://www.avast.com/es-es/contact-form.php?loadStyles

O puedes buscar ayuda en la seccion de virus and worms donde te pueden asegurar si de verdad es un F/P y es mas rapido que un miembro del equipo de Avast la vean.

http://forum.avast.com/index.php?board=4.0

danielariasc

  • Guest
Re: FALSO POSITIVO
« Reply #2 on: August 23, 2012, 04:55:42 PM »
iroc9555 gracias por tu respuesta.

Te cuento, son todos los productos de la pagina los que muestran la alerta de troyano al hacer click en la imagen para ver el detalle. Al hacer click el sitio llama a un funcion de javascript que hace una llamada a una funcion de asp que carga los datos solicitados. te pego el trozo de codigo que genera el mensaje.

inicio funcion

if(dato[1] == "1"){   
    var enProceso = false;
    var http = getHTTPObject();
    if(!enProceso && http){
     var url ="include/asp/funciones.asp?opcion=11&id="+dato[0]+"&width="+width;
     http.open("GET",url, true);
     document.getElementById("frameCargar").innerHTML = "<img src='img/cargando3.gif' width='16' height='16'>";
     http.onreadystatechange = function() {
     if (http.readyState == 4) {
      if (http.status == 200){
        document.getElementById("frameCargar").innerHTML = http.responseText;
        enProceso = false;
         }
        }
      };
     enProceso = true;
     http.send(null);
      }
  }

fin funcion

tengo varios sitios mas, y esta funcion la he ocupado en varios de ellos, y no me arroja este error, he agotado todas las posibilidades y lo unico que me queda es pensar que solo Avast lo detecta como potencial troyano. Especificamente el error lo envia en la ultima linea "http.send(null)"

Hechare un ojo a los link que me dejaste.

Saludos cordiales

iroc9555

  • Guest
Re: FALSO POSITIVO
« Reply #3 on: August 24, 2012, 12:16:50 AM »
Dejame ver si alguien quiere echarle una mirada a tu pagina.

------------------------------------------------------------------------------------------

Could you please check this URL and see why Avast! Web Shield is alerting a PHP:Agent-GA [Trj] infeccion . The owner says it must be a F/P.

-http://www.lamedialuna.cl

Thanks.

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33931
  • malware fighter
Re: FALSO POSITIVO
« Reply #4 on: August 24, 2012, 12:34:05 AM »
Dejame ver si alguien quiere echarle una mirada a tu pagina.

------------------------------------------------------------------------------------------

Could you please check this URL and see why Avast! Web Shield is alerting a PHP:Agent-GA [Trj] infeccion . The owner says it must be a F/P.

-http://www.lamedialuna.cl

Thanks.
See:
wXw.lamedialuna.cl/include/js/prototype.js benign
[nothing detected] (script) wXw.lamedialuna.cl/include/js/prototype.js
     status: (referer=wXw.lamedialuna.cl/)saved 126132 bytes 1703adc185bd3af6e8dec62e343907805fdf342f
     info: ActiveXDataObjectsMDAC detected Microsoft.XMLHTTP
     info: [script] :
     info: [decodingLevel=0] found JavaScript
     suspicious
Think it is for the IP  IDS alert given as "FILEMAGIC Macromedia Flash data (compressed)"
Misused server according to logs...
Registered socket 9 for persistent reuse......blackhole exploit and malicious injections detected on that Autonomous System
The detection mentioned is for a Blackhole exploit variety...
Nothing here: http://vurldissect.co.uk/default.asp?url=http%3A%2F%2Fwww.lamedialuna.cl&btnvURL=Dissect&selUAStr=1&selServer=1&ref=&cbxLinks=on&cbxSource=on&cbxBlacklist=on

User should file a FP report to avast to report possible FPs here: http://www.avast.com/contact-form.php?loadStyles

Then it is up to avast analysts,

polonus
« Last Edit: August 24, 2012, 04:03:35 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

iroc9555

  • Guest
Re: FALSO POSITIVO
« Reply #5 on: August 24, 2012, 12:45:45 AM »
Thanks Polonus.

I already told him to report it as F/P but was not sure.

-----------------------------------------------------------------------------------------------------------------------------

Reportalo como te dije como F/P y veamos que dice Avast!

http://www.avast.com/es-es/contact-form.php?loadStyles

Polonus dice que puede ser por el IP FILEMAGIC Macromedia Flash data comprimido y tambien tiene unos reportes de maluso del socket 9 por uso repetido...con explotaciones de blackholes e injecciones maliciosas en el sistema autonomo.

Suerte




danielariasc

  • Guest
Re: FALSO POSITIVO
« Reply #6 on: August 24, 2012, 04:11:38 PM »
iroc9555 gracias por tu ayuda!! :D

Te cuento que ya envié el reporte a Avast asi que cuando tenga su respuesta te la informo.

Saludos y muchas gracias de nuevo por ayudarme tanto.-

iroc9555

  • Guest
Re: FALSO POSITIVO
« Reply #7 on: August 24, 2012, 08:02:51 PM »
iroc9555 gracias por tu ayuda!! :D

Te cuento que ya envié el reporte a Avast asi que cuando tenga su respuesta te la informo.

Saludos y muchas gracias de nuevo por ayudarme tanto.-

De nada. Un placer. Buena suerte.