Firefox me acusa de distribuir malware en mi sitio

45

Noté que Firefox decidió bloquear algunos instaladores EXE de mi sitio, mostrando una etiqueta Bloqueado: puede contener virus o spyware . Hago clic derecho en el archivo, selecciono Desbloquear , y este mensaje se muestra con las opciones Desbloquear de todos modos y Mantenerme seguro :

El archivo contiene un virus u otro malware que dañará su computadora. Puede buscar una fuente de descarga alternativa o continuar de todos modos.

Observe que el diálogo no dice mayo ; dice que dañará su computadora.

¿Sobre qué base se muestra esta advertencia?

Nadie sabe con seguridad qué proveedor de Chrome y Firefox están utilizando para su extensa lista de falsos positivos. Algunos dicen que el sitio stopbadware.org es responsable, pero no estoy tan seguro.

Indique cómo proceder para restaurar lo que queda de mis sitios y reputación de software de una manera efectiva inmediata, antes de que sea demasiado tarde. Gracias.

Para aquellos que preguntan sobre el sitio y el software, es este: http://www.andreszsogon.com/grf-wizard/

El software es mío. Es una GUI simple para una herramienta de línea de comandos; Lo desarrollé con VB6, comprimí el EXE de la aplicación con el compresor UPX, construí el instalador con Inno Setup y luego lo cargué a través de FTP. Te invito a instalarlo, probarlo y escanearlo todo lo que quieras.

andreszs
fuente
35
¿Cómo sabes que tu exe no contiene virus? ¿Quizás su computadora tiene un virus que infectó el compilador que está utilizando y ahora el compilador inserta virus en todos los ex que intenta compilar? Alternativamente, si su sitio web no está usando HTTPS, un hombre en el medio (por ejemplo, su ISP) puede estar insertando un virus en su exe.
77
Cual es tu sitio ¿Ha verificado los EXE en su sitio contra VirusTotal u otras fuentes? ¿Cómo sabes que Firefox está mal?
DW
44
este conjunto de pruebas de antivirus en línea dice que su ejecutable está infectado: metascan-online.com/en/scanresult/file/…
Lesto
25
Tu pregunta es en gran medida una queja. Este no es el lugar apropiado para desahogar sus frustraciones. El proceso de identificación de malware no es determinista; siempre habrá falsos positivos y negativos. Sin embargo, aquí tienes una pregunta legítima; es básicamente, "¿Cómo funciona la identificación de malware y qué puedo hacer con un falso positivo?" Todos apreciaríamos que pudieras eliminar el contenido personal y emocional y llevarlo a una buena presentación de la pregunta real.
jpmc26
66
¿Está ejecutando wordpress versión 3.8.1 y afirma que su sitio es seguro? Recomiendo encarecidamente algunas actualizaciones ... estás lejos de ser seguro.

Respuestas:

76

Antes de quedar demasiado atrapado en su ira contra Firefox y Google Safe Browsing, el primer paso es descubrir si Google Safe Browsing es correcto. No es raro que los sitios distribuyan ejecutables que contienen malware o virus, sin darse cuenta de que lo están haciendo. A menudo, la Navegación segura de Google es correcta y los encargados del mantenimiento del sitio simplemente no estaban al tanto de la situación: a veces su sitio fue pirateado o, a veces, alguien cargó algunos archivos infectados por virus sin darse cuenta.

Por lo tanto, comience mirando de cerca su sitio para ver si alguna de sus descargas es posiblemente problemática. Puede comenzar examinando la Ayuda para webmasters de stopbadware.org y la ayuda de Webmasters de Google para sitios pirateados . Luego, hay algunos pasos generales que debe seguir:

  1. Compruebe si hay algún malware en su sitio. Debe escanear su sitio cuidadosamente para verificar si alguna de las descargas de archivos es peligrosa o contiene virus / malware. Puede comenzar usando las Herramientas para webmasters de Google para verificar qué archivos defectuosos detectó Google. También debe consultar la página de diagnóstico detallada de Navegación segura de Google y observar detenidamente las páginas y archivos específicos que se enumeran allí. Puede ver la página de diagnóstico aquí para ver qué páginas activaron específicamente el listado. También le sugiero que cargue cada uno de los archivos EXE que ponga a disposición en su sitio en VirusTotal y verifique si hay virus.

  2. Compruebe si su sitio tiene agujeros de seguridad o ha sido pirateado. A menudo, lo que sucede es que los piratas informáticos encuentran un sitio que tiene algunos agujeros de seguridad, comprometen el sitio y lo modifican para insertar malware en el sitio. La primera vez que los administradores del sitio se enteran de esto es cuando se enumeran en Google Safe Browsing. Por lo tanto, debe verificar cuidadosamente si esto le ha sucedido. Aquí hay algunos servicios gratuitos que escanearán su sitio web por usted:

    Si encuentra debilidades de seguridad, desconecte su sitio y corríjalo. Si descubre que su sitio se ha visto comprometido, es probable que necesite borrar el sitio y volver a cargar todo desde una copia de seguridad conocida. Consulte https://www.stopbadware.org/hacked-sites-resources para obtener más recursos.

  3. Proteja su sitio contra la piratería. Le sugiero que revise la seguridad de su sitio y se asegure de que esté bien protegido contra piratería, para evitar que alguien entre y lo modifique para que sirva malware. Consulte, por ejemplo, https://www.stopbadware.org/prevent-badware-basics para obtener algunos antecedentes. También asegúrese de que el software de su sitio esté completamente actualizado.


Cuando uso estas herramientas, esto es lo que encuentro:

  • Sucuri dice que está ejecutando una versión desactualizada de WordPress (anterior a 4.2). Parece que estás ejecutando Wordpress 3.8.1; 4.2.2 es la versión actual. Esto hace que sea probable que su sitio sea vulnerable y pueda verse comprometido: existen múltiples vulnerabilidades conocidas en Wordpress 3.8.1. Debe asegurarse de ejecutar siempre versiones actualizadas del software. Cuando no se mantiene actualizado, crea una oportunidad para que los atacantes comprometan su sitio y lo usen para alojar malware. Entonces, actualice WordPress.

  • Google Safe Browsing dice que su sitio albergaba malware cuando Google visitó el 2015-05-10: "1 página (s) resultó en la descarga e instalación de software malicioso sin el consentimiento del usuario". Aparentemente no se encontró malware en la última visita, 2015-05-25, por lo que parece que en algún momento en el pasado su sitio albergaba malware, pero ya no lo es.

    No está claro cuál era la página problemática. El informe de www.andreszsogon.com/grf-wizard dice que no se encontraron páginas maliciosas debajo /grf-wizard. Entonces, puede inferir que la página problemática debe haber sido alguna otra página debajo www.andreszsogon.com, pero no había nada debajo /grf-wizard. Intenté jugar con la interfaz en línea de Navegación segura de Google, pero no pude limitar qué página hizo que tu sitio apareciera en su sistema.

DW
fuente
3
Todas las pruebas se ejecutan, se verifican las Herramientas para webmasters de Google. Recuerde que no soy solo el usuario promedio normal que no sabe cómo instalar un AV o actualizarlo; Llevo 15 años desarrollando software y aplicaciones web. El sitio es seguro, todo el software está LIMPIO.
¿Qué tipo de firmas / certs se usan autofirmados posiblemente? También lo que está en juego compession algunos tipos de compresión son más propensos a ser marcado como dudoso
78
@ Andrew Honestamente, si tuviera la experiencia que afirma tener, sabría que una declaración como "El sitio es seguro" es totalmente imposible de hacer. Por ejemplo: estás ejecutando wordpress, a través de los años ha habido innumerables ataques de día cero contra las instalaciones de wordpress. Además de eso, también está ejecutando anuncios de Google Adsense y parece estar utilizando al menos un complemento de Wordpress de terceros. Todos consideraron que probablemente estás bien, pero declarar que sabes que es un hecho es solo una señal de que no sabes de lo que estás hablando. De cualquier manera, (cont.)
David Mulder
21
La navegación segura de Google a veces da falsos positivos realmente extraños y, en mi experiencia, también se solucionan con bastante rapidez, así que buena suerte con esto. Todos consideraron que el proyecto de navegación segura de Google me ha ahorrado más problemas de los que me ha costado, pero de vez en cuando puede ser bastante irritante.
David Mulder
10
@Andrew UPX es el empaquetador más utilizado para empacar malware, por lo que si también empaca sus descargas con UPX, activará alarmas.
Michael Hampton
32

Fuente Recientemente comenzó a descargas de borrado que dicen 'virus o software espía'.

"Los últimos dos días, algunas de las descargas comenzaron a eliminarse diciendo que 'Bloqueado: puede contener un mensaje de error de virus o spyware', en la ventana de descarga " .

...

Firefox utiliza datos del proyecto "Navegación segura" de Google para evaluar la reputación de los sitios web y las descargas. De vez en cuando, Google cambia los datos que suministra, por ejemplo, puede estar marcando programas potencialmente no deseados además del malware real.

Para el futuro, los desarrolladores están considerando una opción para anular el bloque y obtener el archivo de todos modos. Probablemente pasarán al menos unos meses antes de que eso aparezca porque los cambios sensibles a la seguridad requieren tiempo para su diseño.

Por ahora, si cree que estos bloques de archivos son "falsos positivos" y que los archivos realmente son seguros, puede realizar una de las siguientes acciones:

(1) Descargue el archivo usando un navegador diferente (yikes)

(2) Descargue el archivo utilizando un complemento de descarga que omita esta comprobación de seguridad. Escuché sobre esto en otro hilo, pero no lo he intentado yo mismo (¡y tampoco sé en qué complementos confiar para esto!).

(3) Desactive la función de Navegación segura temporalmente para obtener el archivo, luego vuelva a encenderlo. Hay una casilla de verificación en el cuadro de diálogo Opciones:

Botón de menú "3 barras" (o menú Herramientas)> Opciones> Avanzado

En la pestaña Seguridad, está la casilla de verificación "Bloquear sitios de ataques informados". La otra casilla de verificación se refiere a sitios de phishing y no creo que afecte a las descargas.


Fuente ¿Cómo funciona la protección integrada contra phishing y malware?

Firefox contiene protección contra phishing y malware incorporada para ayudarlo a mantenerse seguro en línea. Estas características le avisarán cuando una página que visite haya sido reportada como falsificación de un sitio legítimo (a veces llamadas páginas de "phishing") o como un sitio de ataque diseñado para dañar su computadora (también conocido como malware). Esta característica también le advierte si descarga archivos que se detectan como malware.

...

"He confirmado que mi sitio es seguro, ¿cómo puedo eliminarlo de las listas?"

Si posee un sitio que fue atacado y desde entonces lo ha reparado, o si considera que su sitio fue reportado por error, puede solicitar que se elimine de las listas. Sin embargo, alentamos a los propietarios de sitios a investigar a fondo cualquier informe de este tipo; un sitio a menudo se puede convertir en un sitio de ataque sin ningún cambio visible.

  • Para solicitar la eliminación de la lista de sitios de phishing denunciados, utilice este formulario proporcionado por Google.
  • Para solicitar la eliminación de la lista de sitios de malware reportados, use este , provisto por stopbadware.org.
DavidPostill
fuente
1
Gracias, probaré esos formularios. Tenga en cuenta que deshabilitar el filtro o usar otro navegador (?) No es una solución, y no puedo obligar a mis usuarios a usar este o aquel navegador porque acusan erróneamente a mis archivos que están perfectamente limpios. La única solución posible es que los falsos positivos se eliminen de la base de datos del proveedor.
77
@ Andrew, también te recomiendo que envíes los archivos a virustotal . Probablemente descubrirá que algunos proveedores están detectando sus programas como malware (firmas genéricas, probablemente).
Ángel
19
@Andrew Es lamentable que no solo hayas enviado una diatriba, sino que también te niegues a aceptar respuestas a la pregunta central que contiene. El sitio es finalmente un depósito de conocimiento para otros usuarios, no su mesa de ayuda personal.
Descubrí que GWT muestra este problema en una sección separada llamada "Problemas de seguridad", y la URL está etiquetada como "Malware indeterminado". Volví a cargar el instalador sin usar UPX para el EXE principal, y solicité amablemente una revisión para solucionar este problema, gracias.
2
Andrew, si el instalador pasa la prueba de malware con UPX eliminado, recuerda aceptar mi respuesta.
19

Tuve que suspender el uso de UPX con mi propio software porque muchos escáneres de virus consideran que el uso de empaquetadores es una evidencia de facto de irregularidades. Puede intentar publicar una versión desempaquetada de su descarga y ver si la advertencia desaparece.

Erik Knowles
fuente
1
es una respuesta? Esto se debe publicar en los comentarios.
2
De hecho, Avast detecta UPX.exe como una "amenaza". Pero los archivos comprimidos con él se consideran "limpios". He subido un nuevo instalador con el EXE no comprimido ahora, por si acaso.
15
Francisco: ¿Por qué debería haber publicado esto como un comentario? Estaba claramente pensado como una respuesta a la pregunta del OP.
66
@FranciscoTapia Esta es definitivamente una respuesta, y probablemente la correcta.
Brad
1
La buena pregunta aquí, aunque completamente fuera de tema, es ¿por qué usar UPX o cualquier otro empacador EXE hoy, en 2015, con las velocidades de descarga actuales? No puedo creer que empacar EXE para reducir su tamaño (si no hay más argumentos para hacerlo) podría beneficiar a cualquiera, especialmente teniendo en cuenta todos los problemas (expresados ​​aquí en muchos puntos) que uno podría tener al hacerlo
trejder
12

Hice una vista de fuente en la página que vinculaste, y bueno, eso plantea una pregunta: ¿Fuiste tú quien agregó la siguiente etiqueta de script a tu sitio? ¿O alguien logró introducir eso en tu wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Como sospecharía fuertemente que incluir cualquier cosa de superfish te bloquearía por la base de datos de Búsqueda segura de Google. Casi no hace falta decir que superfish tiene una muy mala reputación. Después de todo, observe lo que le sucedió a Lenovo por incluir el software Superfish en sus computadoras portátiles a fines del año pasado. Recibieron un ENORME golpe de relaciones públicas.

Además, como el software AV a menudo no puede / no encontrará muchos, si es que tiene alguno, archivos que contengan php malicioso. Recomiendo encarecidamente manualmente (bueno con Windows find o * nix grep, según sea el caso para la plataforma en la que se está ejecutando su sitio) buscando en toda su instalación de wordpress archivos que no pertenecen y ESPECIALMENTE cualquier archivo que contenga código php que tienen eval () y / o base64_decode () en ellos, especialmente anidados! Si encuentra alguno que obviamente no es parte del sistema y se espera, entonces debe comenzar de inmediato una nueva instalación de WordPress y mover su directorio de contenido de wp, siempre que no haya ningún archivo incorrecto allí también. En cuyo caso, sería mejor comenzar el sitio desde cero. Afortunadamente, eso es bastante fácil con un sitio de WordPress.

Mce128
fuente
15
Eso podría ser este complemento Superfish jQuery , que parece ser casualmente nombrado como tal.
IMSoP
2
Vale la pena señalar, por supuesto, que podría ser tan simple como el complemento Superfish jQuery está generando un falso positivo debido a la similitud de nombre con el otro Superfish. Si los humanos tienen dificultades para diferenciarlos, no es sorprendente que una computadora también tenga dificultades.
aslum
Gracias por la sugerencia, como dijeron otros usuarios, ese script es una simple parte del contenedor JS del tema Contango. Además, si el problema estuviera en la instalación de WordPress, seguramente todos los archivos estarían bloqueados, y no solo uno o dos.
2
@ Andrew Sí, absolutamente, si en realidad es parte de la plantilla / tema, entonces no es el problema, ya que estaría en todo el sitio. Supongo que tal vez, debería haber echado un vistazo alrededor del sitio y mirar para ver si eso estaba en todas las páginas. A menudo, en mi experiencia, cuando estas cosas se ven comprometidas, a menudo se inyectan cosas extrañas en páginas individuales. Claramente, salté el arma allí. Principalmente porque no estaba al tanto del complemento jQuery que comparte el nombre con ese software insidioso. Me preguntaba si tal vez se trataba de un instalador de rouge o algo así si no hubieras sido el que lo había agregado.
1
Aunque, todavía sugiero comprobar lo que describí en mi último párrafo. Lamentablemente, veo ese tipo de cosas muy a menudo cuando recibo llamadas de clientes que tienen sitios de WordPress que se han visto comprometidos. Es un patrón bastante común dentro de los archivos del sitio. De hecho, la mayor parte del tiempo, ¡ni siquiera encontraré ningún archivo del sistema que haya sido alterado o solo un pequeño puñado con unos pocos archivos desagradables extraños hasta literalmente miles! Los nombres de archivo en esos casos generalmente intentan parecer parte del sistema o se generan nombres de galimatías.
8

... comprimido el EXE de la aplicación con el compresor UPX ...

~ Hace 10 años, UPX era comúnmente utilizado por virus para hacerlos más difíciles de detectar y realizar ingeniería inversa. De hecho, se volvió tan común que muchos antivirus ahora consideran que cualquier programa lleno de UPX es una amenaza por defecto. Este es casi seguramente su problema.

Realmente solo tienes dos opciones:

  • Use VirusTotal para determinar qué sitios creen que su software es malware y envíe su programa a esas compañías como falso positivo.
  • Use un método diferente para comprimir su software. Una buena alternativa son los ejecutables autoextraíbles , que deberían hacer un trabajo aún mejor al comprimir su software, sin la ofuscación sospechosa.
BlueRaja - Danny Pflughoeft
fuente
1
Gracias, eso es muy útil. En realidad, mi AV detectó el compresor UPX como una especie de "amenaza", lo cual es muy molesto. Lo eliminaré de todas las versiones posteriores.
andreszs
4

Tengo un sitio web para entusiastas del software de 20 años y también me encuentro con sus problemas. Este es un sitio que tuvo su apogeo alrededor del año 2000 y ahora funciona como un archivo. Alrededor de 3 veces al año, Google Safe Browsing identifica una nueva pieza de "malware", generalmente escrita y cargada entre 1999 y 2002. No importa que siempre haya estado ahí. No importa que nadie lo haya tocado por más de una década. El escaneo de este archivo con virustotal inevitablemente muestra que hay un virus, pero nunca es por los softwares de virus populares como Symantec u otros, siempre de los que nunca has oído hablar; una vez, uno de sus escáneres de virus incluso mostró que hay un virus en un archivo de texto de 530 bytes.

Entonces, ¿cuál es la solución? Dado que Google Safe Browsing es el juez, el jurado y el ejecutor, tiene 3 opciones:

  1. Elimine el archivo y haga algo más con su vida (recomendado por cordura)

  2. Cambie radicalmente el contenido del archivo (por lo general, si después de los cambios virustotal no lo recoge, puede continuar)

  3. Ponga la descarga del archivo detrás de un inicio de sesión

Personalmente, no me importaría mucho, me parece triste cuando tengo que eliminar un software que realmente no se puede encontrar en ningún otro lado.

El Destripador
fuente