Author Topic: JS:Includer-BAO ¿Amenaza o falso positivo?  (Read 3615 times)

0 Members and 1 Guest are viewing this topic.

Yopregunto

  • Guest
JS:Includer-BAO ¿Amenaza o falso positivo?
« on: March 30, 2014, 11:09:08 AM »
Saludos a los foreros, tengo la siguiente consulta:

Ayer a mediodía entre a una página para adultos que jamás me había dado problemas antes en años (wXw.xhamster.com) y mi antivirus Avast saltó con los siguientes mensajes:

-ESCUDO WEB
URL: hXXp://xhamster.com/|>{gzip}
Estado: Amenaza:JS:Includer-BAO[Trj]
Acción:Bloqueado

-ESCUDO DEL SISTEMA DE ARCHIVOS
Nombre del archivo:C:\Users\Usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WN3YUAT2\xhamster_com[1].htm
Estado: Amenaza:JS:Includer-BAO[Trj]
Acción: Eliminar
Resultado: Error: El sistema no puede encontrar el archivo especificado (2)

He estado leyendo el foro desde ayer y existen algunos post en inglés sobre el tema donde creo entender que se trataría de un falso positivo (creo que eso el lo que dice un miembro de avast llamado Flippy http://forum.avast.com/index.php?topic=148223.0) Me gustará que alguien me pudiera sacar de dudas sobre si es una amenaza real o no, y que debo hacer. Aparentemente el ordenador funciona como siempre y buscando el archivo en cuestión en esa dirección no está. Gracias por adelantado.

Offline Populous

  • Advanced Poster
  • **
  • Posts: 977
Re: JS:Includer-BAO ¿Amenaza o falso positivo?
« Reply #1 on: March 30, 2014, 01:23:25 PM »
Hola Yopregunto y bienvenid@ al foro! :)

Lo que avast ha detectado, o mejor dicho, lo que el escudo web de avast ha detectado es lo que  a su juicio es un "script sospechoso". Un script es un fragmento de cógido, es decir, una serie de instrucciones escritas que escribe el programador para que un programa o web haga algo en concreto por explicarlo de una forma que se entienda...

Es decir, dentro de esa web que indica, ha encontrado algo "extraño" (una redirección a un sitio fraudulento, un fragmento de cógido dudoso, etc) y  ha bloqueado el acceso.

El que no encuentre el archivo que avast! le ha indicado en su disco duro es normal porque sencillamente avast! no permitió que se descargara al disco duro y éste no llegó nunca a descargarse aunque realmente lo que indica la detección es un archivo de Javascript (.JS). por lo cual se trataba de un fichero de código javascript anexo a su página o embebido dentro del propio código su página.   Si se fija el archivo que dice estar infectado era "xhamster_com[1].htm" y eso es una página web lo cual indica que al entrar a esa web ha detectado un código de javascript sospechoso.

Javascript es un lenguaje de programación y si un programador malintencionado inserta un código "peligroso" en una web podría hacerse que cuando un visitante la visite, este sea "redirigido" a otra o sencillamente que se descargue un virus simplemente con visitar la url.

Avast cuando detecta este tipo de actividades sospechosas bloquea automaticamente el acceso a la dirección web que incluye el código sospechoso.

Este comportamiento es normal y se hace para evitar infecciones. Es decir, no hace falta que avast! identifique una amenaza ya que si para él una página web o un archivo es "sospechoso" lo bloquea de inmediato. No se deje llevar porque un sitio normalmente aparezca limpio y un buen dia su antivirus le indique que tiene una infección ya que son precisamente los sitios webs los que más ataques e infecciones sufren a diario.

No sé si se trata de un F/P o no,  pero a mi ayer si es cierto que cuando visitaba sitios web normales y foros que visito habitualmente,  también me saltaba la alerta de avast a cada instante y ya hoy no me pasa lo que cual entiendo que era algún problema con las últimas actualizaciones de las base de datos de virus y que se corrigió con la última actualización.

En su lugar esté tranquilo y si nota algo raro pase por aquí y ya le damos otras indicacaciones.

Saludos :)


AÑADIDO


En el foro de inglés, un miembro de avast! (Jiri Sejtko) indica que se debió a un problema con los servidores de bases de datos y que ya está resuelto...

http://forum.avast.com/index.php?topic=147986.msg1075601#msg1075601

Saludos
« Last Edit: March 30, 2014, 01:30:51 PM by Populous »
Avast Premium Security 20.2.2401 (compilación 20.2.5130.565) |CPU: Intel(R) Core(TM) i7-8700 CPU @ 4,06GHz, 6 procesadores principales, 12 procesadores lógicos | RAM: 32GB -DDR4-2666 | T.Gráfica: GeForce GTX 1060 | SO: Win 10 Pro Versión 1909 Build (18363.752) - 64 Bits

Yopregunto

  • Guest
Re: JS:Includer-BAO ¿Amenaza o falso positivo?
« Reply #2 on: March 31, 2014, 11:37:53 AM »
Muchas gracias por tu explicación Populous.

Lo que mas me preocupaba es que el Escudo del Sistema de Archivos de AVAST hubiera localizado algo en mi disco duro y no lo hubiera podido encontrar para eliminarlo. Temía que estuviera dentro de mi ordenador escondido, pero con lo que me dices de que realmente nunca llegó a entrar me quedo mas tranquilo.

El ordenador no tiene comportamientos extraños, al menos a simple vista. No obstante he estado "googleando" y en las últimas 24 horas han aparecido bastantes páginas hablando del JS:Includer-BAO y de su alta peligrosidad. Entiendo que el virus sí que existe pero que lo que ocurrió fue que una actualizacion concreta de AVAST alertaba de falsos positivos.

Gracias de nuevo por la ayuda.