falso positivo

[carlosv56]

Soy el dueño y administrador de estas webs cavisen.com, cavisen.info y cavisen.es.
El otro día detecté que sale que hay un virus (troyano). Me comuniqué con el soporte de mi host (donde alojo mis páginas). Ellos han hecho una revisión total y no hay ningún problema. Cuando entro en linux todo está normal. Si desactvo avast todo normal.

Esto me preocupa porque algún cliente que tenga avast no podría acceder.
Espero ayuda. Gracias
Carlos

[Asyn]

http://forum.avast.com/index.php?topic=91498.0

[carlosv56]

http://forum.avast.com/index.php?topic=91498.0

But what is the solution to this problem

[Asyn]

http://forum.avast.com/index.php?topic=91498.0

But what is the solution to this problem

Clean your site.

[iroc9555]

Thanks Asyn for following thru to the Spanish section.

Carlos unos de los puntos fuertes de Avast! es detectar scripts que sean maliciosos. Si Avast! y Sucuri

http://sucuri.net/malware/malware-entry-mwjsdepack

te dicen que la pagina web esta infectada, pues lo mas probable es que sea cierto. Tienes que buscar ayuda fisica si no sabes como limpiar tu pagina. Desde aqui lo que podemos es informarte de la valides de la deteccion.

Suerte.

[iroc9555]

Carlos.

Asyn y Pondus te han dado enlazes a scaneadores de URLs:

http://sucuri.net/malware/entry/MW:JS:DEPACK

https://new.virustotal.com/file/8df32a0fde36b9584fd5173c65cbc5c354a9e0d5318bd1e4cf79f90f608904bb/analysis/1325858858/

Donde es evidente que no es un F/P, y te describen lo que se detecta con diferentes AVs. Si fuera tu PC la infectada Avast tiene un Foro para ayudar y remover esas infecciones:

Viruses and Worms:

http://forum.avast.com/index.php?board=4.0

tambien en esa seccion del foro uno puede reportar F/P sean archivos o pagina webs. Pondus que participa mucho en esa seccion con Polonus son casi los encargados de asegurarse que una pagina web es o no es detectada como F/P pero lo que te pueden ayudar es decirte lo que Asyn te dijo que casi cierto no es un F/P de acuerdo a Sucuri Check, y Pondus tambien lo reporto con VT.

Yo solo estoy agradeciendo a Asyn que te contesto aqui en el foro de español y pego un enlaze a tu pregunta del foro en ingles. De todas forma yo te hubiera recomendado lo mismo. Scanear el URL detectado con Sucuri y VT para descartar un F/P que fue tu pregunta al abrir el hilo.

Lo demas creo que esta en tus manos. Buscar el script que es detectado y removerlo, o arreglarlo.

Saludos y suerte.

[Populous]

Hola Carlos y bienvenido al foro.

He estado revisando tu sitio web y es en concreto la máquina hacia donde apunta el dominio httpx://cavisen.info el que contiene un script malicioso.

Avast lo bloquea y desde otro equipo con el Kaspersky intalado también fue bloqueado.

Kaspersky lo detecta como un downloader.

La detección exacta es: Trojan-Downloader. JS.Darduk.el

Para que lo comprendas un poco mejor, eso significa que en tu web hay un fichero, (normalmente index.php) que contiene un script (órdenes ó instrucciones) escritas en Javascript ó en otro lenguaje de script, que hace que cuando un usuario visite tu página, en lugar de cargarse tu web, el visitante es redirigido sin él saberlo a otra web desde la cual se descarga un fichero ejecutable que no es otra cosa que el troyano DarDuk en una de sus variantes. También puede ser que no sea redirigido, sino que la página en la cual se encuentra el troyano se carga de modo transparente e invisible en un iframe.

Si quieres pega aquí el contenido de tu index.php y le echo un vistazo porque sin tenerlo delante no te podría decir. Con esto que te comento no te quiero decir que tu servidor web donde está alojada tu página esta infectado con un virus sino que en uno de sus ficheros hay un script (codigo) que redirige a un ftp/url donde sí se encuentra un virus. Por eso tu compañía de hosting no encontró nada. Simplemente (alguien) ha modificado/alterado el codigo fuente de tu página incluyendo un script malicioso que hace lo que te comenté anteriormente. Avast dispone de un escudo de Script que analiza el código fuente de cada página antes de cargarla por si encuentra alguna "redirección extraña" o algo "sospechoso" y de ser así, informa al usuario y bloquea el acceso.

Solución:

Conectate al FTP de tu dominio httpX://cavisen.info y comprueba si ves algo "extraño" en tu index.php.

Lo que si te pediría para otra vez, bueno, a ti y a todo el que crea que su sitio web está infectado ó que conoce una dirección que posiblemente contiene algún script malicioso es que no peguén la URL aquí directamente sin falsearla con algún caracter. Iroc9555 lo ha comentado y pedido más de una vez. Se solucioina añadiendo un signo al enlace (en mi caso puse una X). Con esto evitamos que todo aquel que lea este mensaje, haga clic en tu enlace y pueda resultar infectado.


Un saludo y espero haberte aclarado algo.

[carlosv56]

Gracias por el dato.
Entré y vi algo raro. Quité eso, pero al entrar vuelve a decirme el fallo.
Este es el script
<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require('./wp-blog-header.php');
?>

[Populous]

Gracias por el dato.
Entré y vi algo raro. Quité eso, pero al entrar vuelve a decirme el fallo.
Este es el script
<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require('./wp-blog-header.php');
?>

Buenas noches carlosv56, y de nada. Ahora intentaré explicarte por encima ese código php:

Si te fijas en la línea siguiente:

require('./wp-blog-header.php');

La función "require" llama a otra página llamada wp-blog-header.php que seguramente sea la que contiene el script que redirecciona a un servidor externo al tuyo donde seguramente se encuentra el troyano. Revisa también el contenido de ese archivo (wp.blog-header.php) por si hay algo raro y ya nos cuentas.

Yo acabo de intentar entrar a tu dominio y continúa saltándome la alerta de malware por lo que aún existe ese script malicioso en alguna parte de tu host, simplemente hay que encontrarlo!

Por cierto, si utilizas un blog de tipo WORDPRESS, que creo que sí, porque wp.blog-header.php es un fichero que normalmente forma parte de la cabecera de los blog de wordpress, ten cuidado ya que muchas plantillas y addons para wordpress que se descargan de sitios web no oficiales (ajenos a wordpress) pueden contener scripts maliciosos. Wordpress es el sistema de blogs de código abierto más utilizado a nivel mundial y también el más atacado por hackers y piratas de todo el mundo. De ahí que continuamente estén sacando actualizaciones que corrigen vulnerabilidades.

Un saludo y ya nos cuentas!

PD: Una pregunta por curiosidad..¿Eres Canario? Es que estuve revisando tu web y en el apartado de contacto figura un teléfono que corresponde a un teléfono de Las Palmas! 

[carlosv56]

He revisado y no encuentro nada en wp-blog-header.php.
Creo que lo mejor va ser reinstalar o reconfigurar. Usar quizás drupal
Si vivo en Fuerteventura, Canarias. Si en algún momento vienes por acá, ya sabes que esta es tu casa
Saludos

[Populous]

He revisado y no encuentro nada en wp-blog-header.php.
Creo que lo mejor va ser reinstalar o reconfigurar. Usar quizás drupal
Si vivo en Fuerteventura, Canarias. Si en algún momento vienes por acá, ya sabes que esta es tu casa
Saludos

Ok! Esto te iba a decir, que mejor reinstalaras todo! ¿Fuerteventura? Ya decía yo! xD  Yo soy canario también por eso reconocí el prefijo! Un saludo!

[iroc9555]

Carlos.

Antes que te pongas a re-hacer tu web chequea de nuevo con VT y Sucuri. Yo lo hice y salieron limpias tus paginas, por lo menos .com .es, despues que hicistes los cambios. Muchas veces Avast detecta un objeto fuera de lo comun y lo califica de malicioso y queda " Black listed ". Puedes decir en tu hilo de ingles que no encuentras nada y si Asyn o Pondus pueden ver algo en que puedan ayudarte. Ellos usan otros escaneadores mas profundo.

Perdon. Sucuri todavia detecta infection:

http://sucuri.net/malware/malware-entry-mwjs160

No se por que ? Ayer me salieron limpias.

Pero VT esta limpio:

https://new.virustotal.com/url/57d25b598471d8402b521895015680ae6fb70ae1b141ac2abebcbae6f95bfcef/analysis/1326213556/


Saludos.

[Populous]

Carlos.

Antes que te pongas a re-hacer tu web chequea de nuevo con VT y Sucuri. Yo lo hice y salieron limpias tus paginas, por lo menos .com .es, despues que hicistes los cambios. Muchas veces Avast detecta un objeto fuera de lo comun y lo califica de malicioso y queda " Black listed ". Puedes decir en tu hilo de ingles que no encuentras nada y si Asyn o Pondus pueden ver algo en que puedan ayudarte. Ellos usan otros escaneadores mas profundo.

Perdon. Sucuri todavia detecta infection:

http://sucuri.net/malware/malware-entry-mwjs160

No se por que ? Ayer me salieron limpias.

Pero VT esta limpio:

https://new.virustotal.com/url/57d25b598471d8402b521895015680ae6fb70ae1b141ac2abebcbae6f95bfcef/analysis/1326213556/



Saludos.

A mi también me aparece infección pero en un <iframe>... Ahora es en todos los dominios (.com,.info y .es). Es seguramente un ADDON ó GADGET que has añadido a modo de iframe. Mira en tu código algún <iframe src="....> Hace algún tiempo a una amiga le pasó algo parecido, y era con un blog de blogspot.com. Le había añadido un contador de visitas con un código javascript que había copiado de una web y era un script malicioso. Por eso te digo que revises y mires que ha sido lo último que has hecho porque ahora me sale detección en tus tres dominios registrados...

Me sale detección en:
cavisenX.com
cavisenX.es
cavisenX.info

Revísalo en los sitios que te comentó Iroc que yo lo acabo de hacer y también me sale infección en Sucuri y en un equipo donde tengo el KAV instalado...

Saludos!

ACTUALIZADO:
Comprobé desde el portatil de un amigo que aún había infección. La detección fue realizara por el Antivirus AVG.

Actualizado:

Comprobado con Kaspersky y también muestra infección...