Author Topic: Falso positivo en web?  (Read 14106 times)

0 Members and 1 Guest are viewing this topic.

Topospain

  • Guest
Falso positivo en web?
« on: January 19, 2013, 03:54:58 PM »
Hola a tod@s,

Mi web hXXp://www.spainbestfood.com de repente hoy está siendo bloqueada por Avast porque dice que detecta un troyano (JS Includer -AJ [Trj]

He estado leyendo el foro y he pasado la url por los analizadores que habéis puesto y resulta que no está infectada. He enviado un ticket pero no sé cuanto tiempo tarda el servicio técnico en solucionar este problema que me está causando tanto un descenso de ventas como un daño a la imagen de mi web y empresa. Cuanto puede tardar?

Estos son los reports:
http://urlquery.net/report.php?id=769333
http://www.urlvoid.com/scan/spainbestfood.com/
http://sitecheck.sucuri.net/results/spainbestfood.com
http://zulu.zscaler.com/submission/show/33505a8ed91849019e8082f422024587-1358605815

Gracias a tod@s

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Falso positivo en web?
« Reply #1 on: January 19, 2013, 05:03:36 PM »
You can report a possible FP here: http://www.avast.com/contact-form.php?loadStyles
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Topospain

  • Guest
Re: Falso positivo en web?
« Reply #2 on: January 19, 2013, 06:47:01 PM »
Thanks I did

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33895
  • malware fighter
Re: Falso positivo en web?
« Reply #3 on: January 19, 2013, 07:02:02 PM »
The issue could have been from a block for abused or misused server on the same IP with paypal phishing now dead.

polonus
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Falso positivo en web?
« Reply #4 on: January 19, 2013, 07:02:30 PM »
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline Infratech Solutions

  • Avast Reseller
  • Super Poster
  • *
  • Posts: 2396
  • Mayorista e integrador de Avast en España
    • Ciberseguridad Avast para empresas y MSPs en España.
Re: Falso positivo en web?
« Reply #5 on: January 20, 2013, 11:47:45 AM »
Si se trata de un falos positivo, como parece, AVAST resolverá la incidencia con la próxima actualización de la base de datos de virus una vez que Avast Virus Lab lo verifique.

Topospain

  • Guest
Re: Falso positivo en web?
« Reply #6 on: January 20, 2013, 12:22:03 PM »
He recibido un email de Avast diciendo que no es un falso positivo y que la web está hackeada y linkea a una web de "pastillas azules" (no voy a poner aquí la URL), pero el aviso de Avast es por un Troyano, además, lo más raro es que si accedo por ejemplo con mi smartphone (que tiene Avast instalado) se carga mi web correctamente y no salta aviso alguno.

No entiendo nada ......
« Last Edit: January 20, 2013, 12:32:42 PM by Topospain »

iroc9555

  • Guest
Re: Falso positivo en web?
« Reply #7 on: January 20, 2013, 03:44:19 PM »
Topospain.

Podrias copiar/pegar el email que recibistes de avast!. Tambien una captura de pantalla de la alerta que Avast! te esta dando.

Si tu web esta hackeada tienes que limpiarla. Si es una redireccion a un sitio de ( pastillas azules ) tienes que encontrarlo en el codigo y eliminarlo.

¿ Quien administra la web ? Si tienes un administrador, el deberia de saber que hacer con lo que te dio Avast!.

Topospain

  • Guest
Re: Falso positivo en web?
« Reply #8 on: January 20, 2013, 04:03:12 PM »
Hola iroc9555

este es el texto del email:


 Re: {VIRUS-FALSE} Message from contact form - 'False positive website'

De        virus@avast.com 

Para     
Hello,
sorry but this detection is a correct. Your site is hacked and we
blocking link to atlantic-drugs.net/products/** SPAM **.htm
Regards,
Jan Sirmer

Esta es la imagen de la alerta que da Avast en Chrome, en FF directamente la pantalla da error diciendo que hay un problema al cargar la página.


Es una web creada por nosotros desde Wordpress y está alojada en whois.com, ya me he puesto en contacto con ellos y esto es lo que me han dicho:

 [#ZFH-772-93027]: Web blockled
De      Whois.com support 

Para   

Hello,

I could not find any product associated with the domain atlantic-drugs.net at my end. If this is an addon domain then please provide us with the primary domain name.

Also, the page you mentioned is opening up fine at my end. Please check the Avast settings to allow this page to be displayed at your end.

Good day.

Regards,
Divya


Yo he cambiado la pass del panel de control y he revisado todos los links y las páginas de la web y no he encontrado nada
« Last Edit: January 20, 2013, 04:54:32 PM by Topospain »

iroc9555

  • Guest
Re: Falso positivo en web?
« Reply #9 on: January 20, 2013, 04:43:53 PM »
Primero. Edita tu topico anterior para que no se vea tu email. Asi no seras preza facil de spammers.

Yo diria que debes encontrar ese JavaScript: Includer-AI[Trj] que te esta redirijiendo tu pagina web a atlantic-drugs.net/products.

Dejame ver si alguno de los expertos en codigos te puede ayudar.
« Last Edit: January 20, 2013, 04:58:56 PM by iroc9555 »

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33895
  • malware fighter
Re: Falso positivo en web?
« Reply #10 on: January 20, 2013, 05:09:14 PM »
This is all I get from there:
Code: [Select]
1: < HTML> < HEAD> < META HTTP-EQUIV="Refresh" CONTENT="0; URL=wordpress/"> < /HEAD> < BODY> < P>  < /P> < /BODY> < /HTML>
2:
Webbug gives: malware is hidden at the index.php or index.html files. WordPress version outdated: Upgrade required. Application: WordPress 3.3.1

polonus

« Last Edit: January 20, 2013, 05:14:33 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

iroc9555

  • Guest
Re: Falso positivo en web?
« Reply #11 on: January 20, 2013, 05:25:31 PM »
Thanks polonus.

Topospain.

Aparte del codigo que te da Polonus que me supongo no deberia de estar ahi. El dice que el maware esta escondido en los archivos index.php o index.html. Tambien que el Wordpress esta desfasado y deberias de actualizarlo. Probablemente la causa de la infeccion.

Todavia estoy esperando palabra de !Donovan o Pondus si tienen algo mas que agregar.

Topospain

  • Guest
Re: Falso positivo en web?
« Reply #12 on: January 20, 2013, 05:40:54 PM »
Muchas gracias (many thanks), voy a ver si puedo actualizar Wordpress ya que es la versión que me da el hosting (whois)

Voy a intentar localizarlo en el index (yo no soy informático pero tengo algunas nociones) y acabar con esta pesadilla




Offline !Donovan

  • Web Analyst
  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 2219
    • The WAR Against Malware
Re: Falso positivo en web?
« Reply #13 on: January 20, 2013, 06:07:59 PM »
Hi Topospain,

I suggest you check the following php files first:


If you want to read more about Wordpress malware: http://wp.smashingmagazine.com/2012/10/09/four-malware-infections-wordpress/

~!Donovan
« Last Edit: January 20, 2013, 06:10:10 PM by !Donovan »
Familiarize Yourself! | Educate Yourself! | Beautify Yourself! | Scan Yourself!
"People who say it cannot be done should not interrupt those who are doing it."

iroc9555

  • Guest
Re: Falso positivo en web?
« Reply #14 on: January 20, 2013, 06:17:43 PM »
Thanks Donovan. Let see if your tip can help.

Topospain.
Chequea esos php. Si no sabes deberias buscar alguien que sepa de web sites.