Firefox me acusando de distribuir malware no meu site

45

Percebi que o Firefox decidiu bloquear alguns instaladores de EXE do meu site, mostrando um rótulo Bloqueado: pode conter vírus ou spyware . Clique com o botão direito do mouse no arquivo, selecione Desbloquear e esta mensagem é mostrada com as opções Desbloquear de qualquer maneira e Manter-me seguro :

O arquivo contém um vírus ou outro malware que prejudicará seu computador. Você pode procurar uma fonte de download alternativa ou continuar assim mesmo.

Observe que a caixa de diálogo não diz may ; ele diz que irá prejudicar o seu computador.

Em que base esse aviso está sendo mostrado?

Ninguém sabe ao certo qual provedor o Chrome e o Firefox estão usando para sua extensa lista de falsos positivos. Alguns dizem que o site stopbadware.org é responsável, mas não tenho tanta certeza.

Por favor, informe sobre como proceder para restaurar o que resta dos meus sites e reputação de software de uma maneira imediatamente eficaz, antes que seja tarde demais. Obrigado.

Para quem pergunta sobre o site e o software, é este: http://www.andreszsogon.com/grf-wizard/

O software é meu. É uma GUI simples para uma ferramenta de linha de comando; Desenvolvi-o com o VB6, comprimi o EXE do aplicativo com o compressor UPX, construí o instalador com o Inno Setup e carreguei-o via FTP. Convido você a instalá-lo, testá-lo e digitalizar tudo o que quiser.

andreszs
fonte
35
Como você sabe que o seu exe não contém um vírus? Talvez o seu computador tenha um vírus que infectou o compilador que você está usando e agora o compilador insere vírus em todos os exes que você tenta compilar? Como alternativa, se seu site não estiver usando HTTPS, um homem no meio (por exemplo, seu ISP) pode estar inserindo um vírus no seu exe.
7
Qual é o seu site? Você verificou os EXE no seu site contra o VirusTotal ou outras fontes? Como você sabe que o Firefox está errado?
DW
4
este ativirus-test-suite digamos online que seu executável está infectado: metascan-online.com/en/scanresult/file/...
Lesto
25
Sua pergunta é muito retórica. Este não é o lugar apropriado para desabafar suas frustrações. O processo de identificação de malware não é determinístico; sempre haverá falsos positivos e negativos. Você tem uma pergunta legítima aqui; é basicamente: "Como funciona a identificação de malware e o que posso fazer com um falso positivo?" Todos nós gostaríamos que você pudesse remover o conteúdo pessoal e emocional e apresentá-lo a uma boa apresentação da verdadeira questão.
Jpmc26 26/05
6
Você está executando o wordpress versão 3.8.1 e alegando que seu site é seguro? Eu sugiro algumas atualizações ... você está longe de ser seguro.

Respostas:

76

Antes de se envolver demais com o Firefox e a Navegação segura do Google, o primeiro passo é descobrir se a Navegação segura do Google está correta. Não é incomum os sites distribuírem executáveis ​​que contêm malware ou vírus, sem perceber que estão fazendo isso. Freqüentemente, a Navegação segura do Google está certa e os mantenedores do site simplesmente não estavam cientes da situação - às vezes, o site foi invadido ou, às vezes, alguém carregou alguns arquivos infectados por vírus sem perceber.

Portanto, comece analisando atentamente o seu site para ver se algum de seus downloads é possivelmente problemático. Você pode começar lendo a Ajuda para webmasters em stopbadware.org e a ajuda dos Webmasters do Google para sites invadidos . Depois, há algumas etapas gerais que você deve seguir:

  1. Verifique se há algum malware no seu site. Você precisa verificar seu site com cuidado para verificar se algum dos downloads de arquivo é perigoso ou contém vírus / malware. Você pode começar usando as Ferramentas do Google para webmasters para verificar quais arquivos ruins o Google detectou. Você também deve consultar a página de diagnóstico detalhada da Navegação segura do Google e examinar atentamente as páginas e arquivos específicos listados lá. Você pode visualizar a página de diagnóstico aqui para ver quais páginas acionaram especificamente a listagem. Sugiro também que você faça o upload de cada um dos EXE disponíveis no seu site para o VirusTotal e verifique se há vírus.

  2. Verifique se o seu site possui falhas de segurança ou foi invadido. Freqüentemente, o que acontece é que os hackers encontram um site com algumas falhas de segurança, comprometem o site e o modificam para inserir malware no site. A primeira coisa que os administradores do site descobrem é quando são listados na Navegação segura do Google. Portanto, você deve verificar cuidadosamente se isso aconteceu com você. Aqui estão alguns serviços gratuitos que analisarão seu site:

    Se você encontrar falhas de segurança, coloque seu site offline e corrija-o. Se você achar que seu site foi comprometido, é provável que precise limpar o site e recarregar tudo, desde um backup em bom estado. Consulte https://www.stopbadware.org/hacked-sites-resources para obter mais recursos.

  3. Proteja seu site contra hackers. Sugiro que você revise a segurança do seu site e verifique se ele está bem protegido contra hackers, para impedir que alguém invadir e modificá-lo para exibir malware. Veja, por exemplo, https://www.stopbadware.org/prevent-badware-basics para obter mais informações. Verifique também se o software do site está totalmente atualizado.


Quando uso essas ferramentas, eis o que encontro:

  • A Sucuri diz que você está executando uma versão desatualizada do WordPress (pré-4.2). Parece que você está executando o Wordpress 3.8.1; 4.2.2 é a versão atual. Isso torna provável que seu site esteja vulnerável e possa ser comprometido: existem várias vulnerabilidades conhecidas no Wordpress 3.8.1. Você deve sempre executar versões atualizadas do software. Quando você falha em manter-se atualizado, isso cria uma oportunidade para os invasores comprometerem seu site e usá-lo para hospedar malware. Então, atualize o WordPress.

  • A Navegação segura do Google diz que seu site estava hospedando malware quando o Google visitou em 10/05/2015: "1 página (s) resultou em software malicioso sendo baixado e instalado sem o consentimento do usuário". Aparentemente, nenhum malware foi encontrado na última visita, 25/05/2015, então parece que em algum momento no passado seu site estava hospedando malware, mas não existe mais.

    Não está claro qual era a página problemática. O relatório www.andreszsogon.com/grf-wizard diz que não foram encontradas páginas maliciosas em /grf-wizard. Portanto, você pode deduzir que a página problemática deve estar em outra página www.andreszsogon.com- mas não havia nada abaixo /grf-wizard. Tentei brincar com a interface on-line da Navegação segura do Google, mas não consegui restringir qual página fazia com que seu site fosse listado no sistema deles.

DW
fonte
3
Todos os testes são executados, Ferramentas do Google para webmasters verificadas. Lembre-se de que não sou apenas o usuário comum comum que não sabe como instalar ou atualizar um antivírus; Desenvolvo softwares e aplicativos da web há 15 anos. O site é seguro, todo o software é LIMPO.
Que tipo de assinaturas / certs usaram autoassinado? Também o que compession está em jogo alguns tipos de compactação são mais propensos a ser marcado como duvidoso
78
@ Andrew Honestamente, se você tiver a experiência que afirma ter, saberia que uma declaração como "O site é seguro" é totalmente impossível de fazer. Por exemplo: você está executando o wordpress, ao longo dos anos houve inúmeras explorações de dia zero contra instalações do wordpress. Além disso, você também está executando anúncios do Google Adsense e parece estar usando pelo menos um plug-in do Wordpress de terceiros. Todos consideraram que você provavelmente está bem, mas declarar que sabe que de fato é apenas um sinal de que você não sabe do que está falando. De qualquer maneira, (cont.)
David Mulder
21
Às vezes, a navegação segura do Google fornece falsos positivos realmente estranhos e, na minha experiência, eles são corrigidos rapidamente, portanto, boa sorte com isso. Tudo considerado o projeto de navegação segura do Google me salvou mais problemas do que me custou, mas pode ser bastante irritante de vez em quando.
David Mulder
10
O @Andrew UPX é o empacotador mais comumente usado para compactar malwares; portanto, se você também empacota seus downloads com o UPX, dispara alarmes.
Michael Hampton
32

Fonte Recentemente começou a excluir downloads reivindicando 'vírus ou spyware'.

"Nos últimos dois dias, parte do download começou a ser excluída, dizendo que a mensagem de erro 'Bloqueado: pode conter vírus ou spyware', na janela de download. "

...

O Firefox usa dados do projeto "Navegação segura" do Google para avaliar a reputação de sites e downloads. De vez em quando, o Google altera os dados que fornece, por exemplo, pode sinalizar programas potencialmente indesejados, além de malware real.

Para o futuro, os desenvolvedores estão considerando uma opção para substituir o bloco e obter o arquivo de qualquer maneira. Provavelmente levará pelo menos alguns meses para que isso apareça, pois as alterações sensíveis à segurança levam tempo para serem projetadas.

Por enquanto, se você acha que esses blocos de arquivos são "falsos positivos" e se os arquivos são realmente seguros, siga um destes procedimentos:

(1) Baixe o arquivo usando um navegador diferente (caramba)

(2) Faça o download do arquivo usando um complemento de download que ignora essa verificação de segurança. Eu ouvi sobre isso em outro tópico, mas ainda não tentei (e também não sei em quais complementos confiar nisso!).

(3) Desative o recurso Navegação segura temporariamente para obter o arquivo e ligue-o novamente. Há uma caixa de seleção na caixa de diálogo Opções:

Botão de menu "3 barras" (ou menu Ferramentas)> Opções> Avançado

Na guia Segurança, é a caixa de seleção "Bloquear sites de ataque relatados". A outra caixa de seleção refere-se a sites de phishing e não acho que isso afeta downloads.


Origem Como funciona a proteção integrada contra phishing e malware?

O Firefox contém proteção integrada contra phishing e malware para ajudar a mantê-lo seguro online. Esses recursos o alertarão quando uma página que você visitar for reportada como falsificação na Web de um site legítimo (às vezes chamado de páginas de "phishing") ou como um site de ataque projetado para danificar seu computador (também conhecido como malware). Esse recurso também avisa se você baixar arquivos detectados como malware.

...

"Confirmei que meu site é seguro. Como removê-lo das listas?"

Se você possui um site que foi atacado e o reparou desde então, ou se sente que seu site foi relatado por erro, pode solicitar que ele seja removido das listas. No entanto, incentivamos os proprietários do site a investigar cuidadosamente qualquer relatório; um site geralmente pode ser transformado em um site de ataque sem nenhuma alteração visível.

  • Para solicitar a remoção da lista de sites de phishing relatados, use este formulário fornecido pelo Google.
  • Para solicitar a remoção da lista de sites de malware relatados, use este , fornecido por stopbadware.org.
DavidPostill
fonte
1
Obrigado, vou tentar esses formulários. Observe que desativar o filtro ou usar outro navegador (?) Não é uma solução e não posso forçar meus usuários a usar esse ou aquele navegador porque estão acusando incorretamente meus arquivos que estão perfeitamente limpos. A única solução possível é que os falsos positivos sejam removidos do banco de dados do provedor.
7
@ Andrew, eu também recomendo que você envie os arquivos para virustotal . Você provavelmente descobrirá que alguns fornecedores estão detectando seus programas como malware (assinaturas genéricas, provavelmente).
Ángel
19
@ Andrew É lamentável que você não apenas tenha apresentado um discurso retórico, mas também se recusado a aceitar respostas para a pergunta principal contida nele. Eventualmente, o site é um repositório de conhecimento para outros usuários, não para o suporte técnico pessoal.
Eu descobri que o GWT está mostrando esse problema em uma seção separada chamada "Problemas de segurança" e o URL é rotulado como "Malwares indeterminados". Fiz o upload novamente do instalador sem usar o UPX para o EXE principal e solicitei uma revisão para corrigir esse problema, obrigado.
2
Andrew, se o instalador passar no teste de malware com o UPX removido, lembre-se de aceitar minha resposta.
19

Eu tive que interromper o uso do UPX com meu próprio software, porque muitos antivírus consideram o uso do empacotador uma evidência de fato de irregularidades. Você pode tentar postar uma versão descompactada do seu download e ver se o aviso desaparece.

Erik Knowles
fonte
1
é uma resposta? isso deve ser publicado nos comentários.
2
De fato, o Avast detecta o UPX.exe como uma "ameaça". Mas os arquivos compactados com ele são considerados "limpos". Fiz upload de um novo instalador com o EXE não compactado agora, apenas por precaução.
15
Francisco: Por que eu deveria postar isso como um comentário? Era claramente uma resposta à pergunta do OP.
6
@FranciscoTapia Esta é definitivamente uma resposta, e provavelmente a certa.
26315 Brad
1
A boa pergunta aqui, embora completamente fora de tópico, é por que usar o UPX ou qualquer outro empacotador de EXE hoje, em 2015, com as velocidades de download atuais? Mal posso acreditar que embalar EXEs para reduzir seu tamanho (se não houver mais argumentos para fazê-lo) poderia beneficiar alguém, especialmente levando em conta todos os problemas (expressos aqui em muitos pontos) que alguém possa ter ao fazer isso.
28515 trejder
12

Eu criei uma fonte de visualização na página que você vinculou e, bem, isso levanta uma questão: Foi você quem adicionou a seguinte tag de script ao seu site? Ou alguém conseguiu esconder isso no seu wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Como eu suspeitava fortemente que incluir qualquer coisa do superfish o bloqueasse pelo banco de dados de Pesquisa segura do Google. É quase desnecessário dizer que o superfish tem uma péssima reputação. Afinal, veja o que aconteceu com a Lenovo ao incluir software de pesca em seus notebooks até o final do ano passado. Eles levaram um enorme sucesso PR.

Além disso, como o software antivírus, muitas vezes, não pode / não encontrará muitos ou nenhum arquivo contendo php malicioso. Eu recomendo fortemente manualmente (bem com o Windows Find ou * nix grep, seja qual for o caso da plataforma em que o site está sendo executado), pesquisando em toda a instalação do wordpress arquivos que não pertencem e ESPECIALMENTE quaisquer arquivos que contenham código php que tem eval () e / ou base64_decode () neles, especialmente aninhados! Se você encontrar algum que obviamente não faz parte do sistema e o esperado, inicie imediatamente uma nova instalação do wordpress e mova o diretório wp-content para ele, desde que não haja arquivos ruins nele também. Nesse caso, seria melhor iniciar o site do zero. Felizmente isso é muito fácil com um site wordpress.

Mce128
fonte
15
Esse poderia ser apenas esse plugin do Superfish jQuery , que parece ser coincidentemente chamado como tal.
IMSOP
2
Vale ressaltar, é claro, que poderia ser tão simples quanto o plug-in do Superfish jQuery está gerando um falso positivo devido à semelhança do nome com o outro Superfish. Se os humanos têm dificuldade em diferenciá-los, não é de surpreender que um computador também possa ter dificuldade.
Aslum 26/05
Obrigado pela sugestão, como outros usuários disseram, de que o script é uma parte simples do wrapper JS do tema Contango. Além disso, se o problema estivesse na instalação do WordPress, certamente todos os arquivos seriam bloqueados, e não apenas um ou dois.
2
@ Andrew Sim, absolutamente, se é realmente parte do modelo / tema, então não é o problema, pois seria o site inteiro. Suponho que talvez eu devesse dar uma olhada no site e procurar ver se isso estava em todas as páginas. Freqüentemente, na minha experiência quando essas picadas são comprometidas, muitas vezes coisas estranhas são injetadas em páginas únicas. Claramente, eu pulei a arma lá. Principalmente porque eu não conhecia o plugin jQuery que compartilha o nome com esse software insidioso. Eu me perguntei se talvez fosse um instalador de rouge ou algo assim, se você não foi o responsável por adicioná-lo.
1
Embora eu ainda sugira fortemente verificar o que descrevi no meu último parágrafo. Infelizmente, eu vejo esse tipo de coisa com muita frequência quando recebo ligações de clientes que possuem sites wordpress que foram comprometidos. É um padrão bastante comum nos arquivos do site. De fato, na maioria das vezes, eu não vou encontrar nenhum arquivo de sistema que tenha sido alterado ou apenas um pequeno punhado com alguns arquivos desagradáveis ​​estranhos espalhados por milhares! Os nomes de arquivo nesses casos geralmente tentam parecer fazer parte do sistema ou são gerados nomes sem sentido.
8

... compactou o EXE do aplicativo com compressor UPX ...

~ 10 anos atrás, o UPX era comumente usado por vírus para torná-los mais difíceis de detectar e fazer engenharia reversa. De fato, tornou-se tão comum que muitos antivírus agora consideram qualquer programa compactado com UPX uma ameaça por padrão. Este é quase certamente o seu problema.

Você realmente só tem duas opções:

  • Use o VirusTotal para determinar quais sites acreditam que seu software é malware e envie seu programa para essas empresas como falso-positivo.
  • Use um método diferente para compactar seu software. Uma boa alternativa são os executáveis ​​de extração automática , que devem fazer um trabalho ainda melhor na compactação do software, sem a ofuscação suspeita.
BlueRaja - Danny Pflughoeft
fonte
1
Obrigado, isso é muito útil. Na verdade, meu AV detectou o compressor UPX como uma espécie de "ameaça", o que é muito irritante. Vou me livrar dele de todas as versões subseqüentes.
Andreszs 28/05
4

Eu administro um site para entusiastas de software de 20 anos e também encontro seus problemas. Este é um site que teve seu auge por volta do ano 2000 e agora funciona como um arquivo. Cerca de três vezes por ano, a Navegação segura do Google identifica um novo pedaço de "malware", geralmente escrito e enviado por volta de 1999 a 2002. Não importa se sempre esteve lá. Não importa que ninguém o toque há mais de uma década. A verificação desse arquivo com virustotal mostra inevitavelmente que existe um vírus, mas nunca pelos softwares populares como Symantec ou outros, sempre os que você nunca ouviu falar - uma vez, um de seus scanners de vírus mostrou que há um vírus em um arquivo de texto de 530 bytes.

Então, qual é a solução? Como a Navegação segura do Google é o juiz, júri e executor, você tem 3 opções:

  1. Exclua o arquivo e faça outra coisa com sua vida (recomendado por sanidade)

  2. Altere radicalmente o conteúdo do arquivo (normalmente, se após as alterações que o virustotal não atender, você estará pronto)

  3. Coloque o download do arquivo atrás de um login

Pessoalmente, eu não me importaria muito, só fico triste quando tenho que excluir um software que não pode ser encontrado em nenhum outro lugar.

O Estripador
fonte