Author Topic: Avast блокирует доступ к сайту JS:ScriptIP-inf  (Read 30049 times)

0 Members and 1 Guest are viewing this topic.

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #15 on: August 02, 2013, 11:11:41 PM »
Уверены? Тогда посмотрите сюда: http://zulu.zscaler.com/submission/show/01199c3d5377413c885e2f85336c2524-1375471089
На что смотреть? На content checks   0/100, url checks   0/100? Или на hosts check     50/100? Так hosts check, на мой взгляд, вообще носит дискриминационный характер, базирующийся на геолокации и каких-то "исторических результатах". 



Как я и предполагал, проблема не с сайтом, а прежде всего с джава-скриптами от третьей стороны. Подозрительные элементы выделены оранжевым...
Оранжевый c*harnetskyj.org.ua
http://zulu.zscaler.com/submission/show/b9405fdc820998b5a86b7f5950dda0d7-1375475813
"Проблема", наверное, со скриптами 4-й или 5-й стороны  ;)

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #16 on: August 02, 2013, 11:21:18 PM »
Нет, это один и тот же скрипт, что как раз и означает подозрительный скрипт в рекламном баннере.
May the FOSS be with you!

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #17 on: August 03, 2013, 07:15:44 AM »
Нет, это один и тот же скрипт, что как раз и означает подозрительный скрипт в рекламном баннере.
Script IP-inf, по-моему, определяет IP (или страну?) посетителя сайта при входе и к рекламным баннерам на сайте не имеет отношения.
Где вообще на сайте Аваста можно узнать, что за угроза JS:ScriptIP-inf? Во всех ссылках по этому запросу в Google, фигурирует только Аваст, либо антивирусы, использующие его движок и, соответственно, базы.

« Last Edit: August 03, 2013, 07:27:48 AM by j.bonzo »

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #18 on: August 03, 2013, 02:01:38 PM »
Я погуглил и нашёл следующую тему: http://forum.avast.com/index.php?topic=75668.0 , но в ней по моему мнению самым полезным является последнее сообщение: http://forum.avast.com/index.php?topic=75668.msg775122#msg775122 . Вполне возможно в нашем случае окажется та же или подобная "бяка".

Потом я наткнулся на форум Джумлы и на эту тему в ней: http://joomlaforum.ru/index.php/topic,256925.0.html И по выводам там заразу надо опять-таки искать в коде сайта.

Хорошо, что Аваст находит этот зловред, иначе может получиться вот это: http://www.zimbio.com/Latest+Computer+Threats/articles/GSdJU9Az_sz/How+Get+Rid+JS+ScriptIP+Inf+Trj+Virus+JS+ScriptIP

Так что вывод пока один: надо пересмотреть код сайта и обратить внимание на всё, что касается джава-скриптов, оперирующих перенаправлениями и отслеживанием клавиатурных нажатий.
May the FOSS be with you!

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #19 on: August 03, 2013, 04:52:56 PM »
Я погуглил и нашёл следующую тему: http://forum.avast.com/index.php?topic=75668.0 , но в ней по моему мнению самым полезным является последнее сообщение: http://forum.avast.com/index.php?topic=75668.msg775122#msg775122 . Вполне возможно в нашем случае окажется та же или подобная "бяка".
Последнее сообщение не относится к теме топика и касается JS:ScriptEX-inf[Trj] (script executer?)
Потом я наткнулся на форум Джумлы и на эту тему в ней: http://joomlaforum.ru/index.php/topic,256925.0.html И по выводам там заразу надо опять-таки искать в коде сайта.
Заразу, определяемую только Авастом.
Хорошо, что Аваст находит этот зловред, иначе может получиться вот это: http://www.zimbio.com/Latest+Computer+Threats/articles/GSdJU9Az_sz/How+Get+Rid+JS+ScriptIP+Inf+Trj+Virus+JS+ScriptIP
Не может ничего получиться. Без всяких последствий заходил на сайт с 4-5 компьютеров с другими антивирусными решениями.
Так что вывод пока один: надо пересмотреть код сайта и обратить внимание на всё, что касается джава-скриптов, оперирующих перенаправлениями и отслеживанием клавиатурных нажатий.
По-моему, пока что надо "додавить" Службу поддержки.

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #20 on: August 05, 2013, 08:10:08 AM »
Аваст конкретного файла с вирусом не даёт...
Это журнал Вэб-экрана. Жаль что информация о заражении не полная.
Соглашусь с George Yves, что это скрипт от третьей стороны, потому что ты скачивал весь сайт на ПК и ничего не находил. Или на ПК сайт проверялся не авастом, а другим антивирусом?

Это просто очередной косяк Аваста...
Заразу, определяемую только Авастом
Сколько раз сталкивался с такими ситуациями и всегда аваст оказывался прав. Со временем другие антивирусы тоже начинали что-то находить, но первым всегда оказывался аваст.

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #21 on: August 05, 2013, 10:18:01 AM »
Это журнал Вэб-экрана. Жаль что информация о заражении не полная.
Какая может быть информация о том, чего нет? Отключите вэб-экран и зайдите на сайт. Если бы была реальная угроза, то ее сразу бы обнаруживали другие экраны Аваст (экран сценариев, экран файловой системы, ...). Т.е. это не сигнатурный детект вэб-экрана.

Сколько раз сталкивался с такими ситуациями и всегда аваст оказывался прав. Со временем другие антивирусы тоже начинали что-то находить, но первым всегда оказывался аваст.
Даже не смешно!
Аваст - "... родина слонов!"
« Last Edit: August 05, 2013, 10:22:25 AM by j.bonzo »

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #22 on: August 05, 2013, 10:22:24 AM »
j.bonzo
Давайте остановимся и не будем скатываться на флуд и флейминг. Меня куда больше настораживает уже трёхдневное молчание автора темы.
May the FOSS be with you!

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #23 on: August 05, 2013, 10:27:56 AM »
... Меня куда больше настораживает уже трёхдневное молчание автора темы.
А уже шестидневное молчание "Службы поддержки" Вас не настораживает?

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #24 on: August 05, 2013, 10:32:21 AM »
Молчание Службы уже давно стало притчей во языцех и мы тут ничего поделать не можем, к сожалению.
May the FOSS be with you!

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #25 on: August 05, 2013, 03:55:26 PM »
Сколько раз сталкивался с такими ситуациями и всегда аваст оказывался прав. Со временем другие антивирусы тоже начинали что-то находить, но первым всегда оказывался аваст.
Даже не смешно!
Аваст - "... родина слонов!"
Вот пруфы:
1. Соединение с вредоносным сайтом?:
Quote
Nameless_13 пишет:
По поводу "JS:Packed-AB [Trj]" читаем здесь
Особенно радует вот это: AVAST! is the only antivirus software fully detecting this new virus.
2. Аваст блокирует нормальные сайты, Проблема доступа к сайтам, на которых нет вредоносного кода:
Quote
Анатолий пишет:
Разобрался вроде. Аваст не зря ругался.

Наверное предупреждение Аваста о JS:ScriptIP-inf было небеспочвенно. Но нигде не было видно кода вируса, ни в оригинальном файле на сервере, ни в html-источнике страниц через браузер, ни в js файлах. Основные инклюдные php тоже были просмотрены. Но как все-таки увидел код вируса - командой wget, выполненной в среде Linux на сервере, скачал файл index.php и в нем код был очевиден. Там уже было более понятно, где искать. Записался в ZendOptimizer.php - там (/usr/local/Zend/lib/Optimizer-3.3.3) неск. одинаковых файлов в разных папках и я не все файла раньше проверил. Троян вел на analizersyscom . net

Но вот старые сборки Аваста его не видели
3. Avast блокирует мой сайт, Немогу зайти на свой сайт - конкретную цитату не приведу, там всю тему смотреть надо. В кратце, ругался только аваст, думали фолс, пока не нашли вредоносный код.

Теперь попробуй опровергни. Это будет сложнее, чем разводить флуд и писать про родину слонов =)

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #26 on: August 05, 2013, 04:13:11 PM »
albel277, я нашел на что ругается аваст, у тебя на странице пяток раз повторяется один и тот же скрипт (см. картинку).
Вот результаты сканирования на вирустотал: https://www.virustotal.com/ru/file/ed9297925fd65aacc6b76ca026c658870c926048289b23cdc39a58a553c0ed74/analysis/1375711688/

А вот результат сканирования сайта filenxТОЧКАcom, на который ведет этот скрипт: https://www.virustotal.com/ru/url/61c2cd4f70994d98fb268c2f487f46748274ab03bd113f7ae8245678493a527f/analysis/1375712213/ (8-мь антивирусов, включая Касперского и Др.ВЭБа считают его вредоносным).

j.bonzo, видя этот скрипт ты теперь понимаешь почему другие экраны аваста не реагируют? Он выполняется только на мобилке и подгружает трояна под видом опера_мини. В браузерах на ПК этот скрипт не выполняется.
« Last Edit: August 05, 2013, 04:22:32 PM by sergofun »

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #27 on: August 05, 2013, 07:46:33 PM »
Вот пруфы:
1. Соединение с вредоносным сайтом?:
Quote
Nameless_13 пишет:
По поводу "JS:Packed-AB [Trj]" читаем здесь
Особенно радует вот это: AVAST! is the only antivirus software fully detecting this new virus.
-
Здесь обсуждается JS:ScriptIP-inf, а не JS:Packed-AB [Trj].

3. Avast блокирует мой сайт, Немогу зайти на свой сайт - конкретную цитату не приведу, там всю тему смотреть надо. В кратце, ругался только аваст, думали фолс, пока не нашли вредоносный код.
Не надо смотреть всю тему. Достаточно посмотреть на картинки, чтобы убедиться, что к данному топику это не имеет отношения.
Он выполняется только на мобилке и подгружает трояна под видом опера_мини. В браузерах на ПК этот скрипт не выполняется.
В этом топике об антивирусе для мобил речь не идет. Угрозы для ПК нет.




« Last Edit: August 05, 2013, 08:23:38 PM by j.bonzo »

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #28 on: August 05, 2013, 09:12:47 PM »
Quote
Угрозы для ПК нет.
Во-первых, угроза есть, хоть она и не для ПК, а для планшетов и смартфонов - никто не гарантирует с какого устройства пользователь попадёт на этот сайт. Кстати, вирусные базы как десктопного, так и мобильного Аваста одинаковы: десктопный аваст может обнаруживать андроидные угрозы, а мобильный - виндовые.

Во-вторых, как бы не назывался зловред - JS:ScriptIP-inf или JS:Packed-AB [Trj] - это практически одна и та же угроза: подозрительный джаваскрипт. Вся разница между ними лишь в том, что они делают с браузером пользователя - скачивают логины и пароли, или перенаправляют на сайты, рассылающие вирусы и трояны.
May the FOSS be with you!

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Avast блокирует доступ к сайту JS:ScriptIP-inf
« Reply #29 on: August 06, 2013, 07:14:08 AM »
j.bonzo, ты в адеквате? Или ты, в принципе, не в состоянии признать свою ошибку?
Во-первых, приведены примеры того, что:
Сколько раз сталкивался с такими ситуациями и всегда аваст оказывался прав. Со временем другие антивирусы тоже начинали что-то находить, но первым всегда оказывался аваст
Во-вторых, вредоносный скрипт на сайте выявлен (смотри аттач из предыдущего сообщения и результаты сканирования на вирустотал), что подтверждает правоту аваста. Это не фолс, сайт заражен. Смысл упираться и отрицать очевидное? Предлагаю прекратить этот нелепый спор.