Author Topic: False positive?  (Read 4496 times)

0 Members and 1 Guest are viewing this topic.

Offline Nightwish

  • Newbie
  • *
  • Posts: 3
False positive?
« on: October 14, 2013, 11:18:49 AM »
Zodra ik de website van mijn paintball team wil bezoeken krijg ik sinds een aantal weken een melding dat deze geinfecteerd zou zijn. Ik krijg deze melding vanaf verschillende pc's met Avast geinstalleerd terwijl andere pc's (zelfs vanaf grote bedrijfsnetwerken) geen meldingen geven.
Is het mogelijk dat Avast een false positive geeft op deze website en zo ja, hoe kan ik dat omzeilen?
De melding die ik krijg is    JS:HideMe-J [Trj]

Offline Eddy

  • Avast Evangelist
  • Maybe Bot
  • ***
  • Posts: 31344
  • Watching (over?) you
    • Malware removal, Biljart and other things.
Re: False positive?
« Reply #1 on: October 14, 2013, 11:27:22 AM »
Ja, het is mogelijk dat het een false positive is, maar dat hoeft niet. Het kan ook zijn dat avast het juist wel detecteerd en anderen (nog) niet.
Geef a.u.b even de link, maar zorg ervoor dat niemand erop kan klikken. Verander http in b.v. hxxp.
Dan kan ik wat dingen controleren.

Offline Nightwish

  • Newbie
  • *
  • Posts: 3
Re: False positive?
« Reply #2 on: October 14, 2013, 01:20:36 PM »
De website is:
hxxp://www.blackbandits.nl

Offline Eddy

  • Avast Evangelist
  • Maybe Bot
  • ***
  • Posts: 31344
  • Watching (over?) you
    • Malware removal, Biljart and other things.
Re: False positive?
« Reply #3 on: October 14, 2013, 07:05:37 PM »
http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377
http://www.unmaskparasites.com/security-report/

Dat zijn waarschijnlijk 2 (van de waarschijnlijk meer) redenen waarom de site geblocked wordt.
Hij is blacklisted en ze gebruiken een wel zeer oude Joomla versie.
Hierdoor zijn veel beveiligingsproblemen met Joomla niet gepatched en vormt de site dus een risico.

Als je wilt dat de mensen van avast er naar kijken, neem dan even contact met ze op:
http://www.avast.com/nl-nl/contact-form.php

Offline jefferson sant

  • Starting Graphoman
  • *
  • Posts: 6829
  • volunteer
Re: False positive?
« Reply #4 on: October 15, 2013, 01:44:44 PM »
De website is:
hxxp://www.blackbandits.nl




Deobfuscation resultaten
Evals
 

 
Writes
 


ziet er schoon nu

http://sitecheck.sucuri.net/results/www.blackbandits.nl/

« Last Edit: October 15, 2013, 09:10:47 PM by jefferson santiag »

Offline Eddy

  • Avast Evangelist
  • Maybe Bot
  • ***
  • Posts: 31344
  • Watching (over?) you
    • Malware removal, Biljart and other things.
Re: False positive?
« Reply #5 on: October 15, 2013, 01:59:39 PM »
Er staat duidelijk Unable to properly scan your site. Unable to connect.
Dat betekent natuurlijk niet dat de site schoon is.

http://zulu.zscaler.com/submission/show/390b1b06708e398f194b3933e184dde5-1381769377

Ze gebruiken ook een meer dan 2 jaar oude versie van Joomla en dat betekent dat er heel beveiligings risico's niet gepatched zijn.
Ook dat is een enorm veiligheids risico.

Offline polonus

  • Avast √úberevangelist
  • Probably Bot
  • *****
  • Posts: 32766
  • malware fighter
Re: False positive?
« Reply #6 on: October 15, 2013, 02:05:29 PM »
Hallo Nightwish,

JS:HideMe[Trj] is meestal een juiste detectie van avast van een bepaalde vorm van SEO Spam malware in Joomla.
Zoek naar sporen in de code (hide-me etc.)
De IP van de site herbergt nogal wat actieve malware op andere domeinen,
dus dat kan ook een blacklisting of een algeheel IP blokkering opleveren.
Kijk hier maar eens: http://support.clean-mx.de/clean-mx/viruses.php?review=46.30.211.59&sort=first%20desc
Als ik naar de site wil gaan met jsunpack krijg ik  <urlopen error timed out>
Zee hier voor de code die gedetecteerd wordt: http://forum.joomla.org/viewtopic.php?f=621&t=812161
Er was genoeg van de code daar aanwezig om een avast ! Web Schild alert te geven voor JS:HideMe-J[Trj].

@Eddy, Unable to properly scan your site. Unable to connect, komt juist vanwege de schildblokkering door avast,
avast blokkeert bij het minste of geringste spoor van die specifieke code die het moet herkennen en je computer komt er dus niet eens
mee in aanraking en dat is pas echte beveiliging want je maakt geen kontakt met eventuele rotzooi daar,

D.

groetjes,

polonus
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline jefferson sant

  • Starting Graphoman
  • *
  • Posts: 6829
  • volunteer
Re: False positive?
« Reply #7 on: October 15, 2013, 02:15:27 PM »
wordt nog steeds waarschuwingen
Bewerk uw bericht  " hxxp://forum.joomla.org/viewtopic.php?f=621&t=812161 "

« Last Edit: October 15, 2013, 09:12:16 PM by jefferson santiag »

Offline Nightwish

  • Newbie
  • *
  • Posts: 3
Re: False positive?
« Reply #8 on: December 24, 2013, 03:18:00 PM »
Hi, sorry het niet reageren. Maar inmiddels is de Joomla versie verhoogd naar 2.5.16 (uitgebracht november dit jaar), toch blijft avast meldingen geven.
AVG heeft nergens last van terwijl NOD32 ook problemen geeft.

Offline polonus

  • Avast √úberevangelist
  • Probably Bot
  • *****
  • Posts: 32766
  • malware fighter
Re: False positive?
« Reply #9 on: December 24, 2013, 03:43:21 PM »
De avast! Webschild technologie is zeer geavanceerd en zeer accuraat met zijn SEO Spam misbruik detecties,
zoals eerder een HideMe variant detectie en nu dus die  JS;Clickjack-A trojan op deze site.
Avast derecteert en blokt dus: JS:Clickjack-A[Trj].
Het wordt content namelijk toestaan te zijn ingebed in een frame.
Een XFrame Optie header werd niet geretourneerd vanaf de server,
waarop de webstek draait.
De site is hiermee gevoelig voot clickjacking misbruik.

Voor een eventueel verwijderen van de gevonden malcode lees instructies hier:
http://forum.joomlacommunity.eu/showthread.php?p=100819 
De site werd gecompromitteerd en geinfecteerd via een PHP CMS module hack.

Zie ook-> http://jsunpack.jeek.org/?report=c8d48112728c7b78ea052544f95f8ff321474541

polonus
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!