11:10
29/2/2016

Czytelnicy zgłaszają nam, że ich program antywirusowy (ESET) wykrywa zagrożenia po wejściu na strony Onetu, WP i Allegro (EDIT: oraz masę innych stron):

Oto przykładowe URL-e generujące komunikat ostrzeżenia:

hxxp://asa.allegro.pl/diff/js/smart.js
hxxp://emiter.allegrostatic.pl/_/jsonapi/?prefix=allegro

ad55b993-aef8-4c9e-9499-2a39e51e6a31

Wszystko wygląda na false-positive

Aktualizacja 13:00
Aktualizacja 13103 rozwiązuje problem. Alarmy były skutkami błędu w antywirusie ESET. Zdarza się najlepszym.

Ten incydent do dobra okazja do refleksji na temat tego czy ufać antywirusowi. Jeśli już go ktoś ma, to kiedy AV ostrzega, powinno się bezwzględnie wierzyć ostrzeżeniu — a tu niektórzy z czytelników pisali nam, że “nie wiem, czy to nie false positive, ale ponieważ inny AV nic nie pokazuje, to wyłączyłem Eseta póki co i wszystko działa”…

PS. Chyba w ramach autopokuty, Eset na skutek powyższego błędu w bazie sygnatur zablokował też sam siebie ;)

12779100_10208557304511194_8711658158193348401_o

PS. Na skutek dużej popularności tego artykułu i niesłabnących e-maili od czytelników w tej sprawie, przenosimy niniejszy artykuł z linkbloga na główną stronę serwisu — aby każdy go widział.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

85 komentarzy

Dodaj komentarz
  1. na olx też wykrywa zagrożenie i ładuje stronę dopiero po kilku odświeżeniach

    • olx to jedno wielkie zagrożenie, pamiętacie co się działo z ichnią apką?

    • olx ma w kodzie js (ninja.js) instrukcje do wyciagania unikatowych danych z rejestru windowsa i oblicznia hash niektorych plikow.
      ninja.js

  2. U mnie takimi sypie:

    2016-02-29 11:03:35 – Ochrona protokolu HTTP – alert o zagrozeniu wywolany na komputerze XXX32: Obiekt http://biznes.onet.pl zawiera wirusa JS/ScrInject.B kon trojanski.

    2016-02-29 11:03:36 – Ochrona protokolu HTTP – alert o zagrozeniu wywolany na komputerze XXX32: Obiekt http://lib.onet.pl/s.csr/v11/build/init.js zawiera wirusa JS/ScrInject.B kon trojanski.

    2016-02-29 11:04:22 – Ochrona protokolu HTTP – alert o zagrozeniu wywolany na komputerze XXX32: Obiekt http://biznes.onet.pl zawiera wirusa JS/ScrInject.B kon trojanski.

  3. Hmm ja sobie właśnie testowo na jeden z artów na onecie i oto co mi się ukazało

    Dostęp do strony został zablokowany.
    http://wiadomosci.wp.pl/kat,1027191,title,Czy-IPN-popelnil-kosztowny-blad-Eksperci-wyjasniaja,wid,18183849,wiadomosc.html?ticaid=116914&_ticrsn=3

    Zagrożenie: JS/ScrInject.B koń trojański

    Więc kto wie?

  4. Prawda, dzisiaj co chwilę mam zablokowaną stronę przez Eseta :)

  5. Nie tylko na tych stronach, zgłasza się również na stronach branżowych, “niedostępnych” dla ogółu.

  6. Blokuje także wchodzenie na profile na wykopie, linki z twittera, stronę mojego wydziału…

  7. Potwierdzam.

  8. Na mobilnym Onecie to juz od jakiegoś czasu mozna trafic na malware ktore przekierowuje na strony “Twój Android jest zawirsowany, klinkij to zeby odwirować…” z zablokowanym przyciskiem wstecz i wibracjami. Zgłaszane pomocy technicznej

  9. http://help.eset.com/era/6/pl-PL/index.html?trojan_horses.htm
    zablokowana przez eseta Refesh.BC koń trojański

  10. Jeszcze np http://www.autodesk.com/products/dwg/viewers

  11. Ja dzis tez dostaje komunikat od eseta o HTML/Refresh.BC koń trojański w apce ktora sami napisalismy. Czy to to samo?

  12. Tak samo Dziennik.pl, Se.pl

  13. Tych false-positive’ów jest dużo więcej i w wielu skryptach i miejscach. Wszystkie wykrywane jako JS/ScrInject.B. Pewnie trzeba poczekać do następnej, szybkiej aktualizacji definicji wirusów.

    • Można w opcjach ESETa cofnąć do ostatniej aktualizacji:
      Ustawienia zaawansowane/Aktualizacja/Zaawansowana i kliknąć Cofnij

      Potem pamiętać o włączeniu aktualizacji jak problem zniknie.

  14. Sprawdziłem tak na szybko wszystko u siebie – jak kolega grocal pisał jest w wielu miejscach. Wykrywa różne rzeczy, niektóre zupełnie bez sensu. Widać aktualizacja ESETa wniosła jakieś problemy.

  15. Coś poszło nie tak. Ja zacząłem dostawać false-positives konia trojańskiego HTML/Refresh.BC na stronach, które używają meta tagu refresh – i to żadnego podejrzanego, tylko kierującego do innej podstrony w ramach tej samej domeny.

  16. to napewno nie jest allegro, a jakis problem z definicjami eseta, wiele .js jest blokowanych nawet w intranecie.

  17. Jest jeszcze problem z domeną loadr.exalator.com ładującą reklamy na tvn24.pl od ponad 2 tygodni -pojawiło się przy okazji afery z teczkami z szafy. Domena nieciekawa https://exchange.xforce.ibmcloud.com/url/http:%252F%252Floadr.exelator.com ale AdblockPlus pomaga.

  18. To samo na ceneo.pl: JS/ScrInject.B.

  19. U mnie w firmie u klientów też od rana wykrycia z plikami JS w Esecie

  20. Coś jest na rzeczy:
    http://zapodaj.net/1e78a08f7ba49.png.html

  21. Na Agito to samo. Eset pokazuje “Zagrożenie: HTML/Refresh.BC koń trojański”

  22. Prawie cała nasza firma korzystająca z Eset Nod 32 otrzymuje takie komunikaty.

  23. To samo z allegro:
    http://zapodaj.net/a63de45bf678c.png.html

  24. Na komputronik.pl też ESET sypie ostrzeżeniem przy dodawaniu produktu do koszyka.
    Dzieje się tak na stronie konsumenckiej jak również w panelu dla zamówień hurtowych.

  25. Na http://www.upc.pl to samo ;)

  26. Połowa stron nie działa… Wiadomo kiedy to zaktualizują? Już klienci wydzwaniają, że ich strony są zainfekowane ;-)

  27. Eset ponoc do 30 min. wyda update

  28. Można rollback zrobić i po sprawie:
    F5/Aktualizacja -> cofanie zmian

  29. Fakt już ceneo mi nie działa, wyłączam ESETa.

  30. Pozostaje cofnąć aktualizację w konsoli Eset Remote Administrator do 1301 (błędne definicje występują w wersji 1302), jeśli korzystacie, bo inaczej pracownicy nie przestaną dzwonić :F

  31. Mi si ę też ta pokazywało, zapuściłem skan i znalazło 4 trojany o tej samej nazwie ale w różnych lokalizacjach. Gdy usunąłem to problem ustał chwilowo, co jakiś czas też mam ten monit ale komp już czysty. Miejmy nadzieje, że niebawem to usuną.

  32. Potwierdzam. ESET wariuje…

  33. Nie tylko te strony. Próbowałem zalogować się do http://www.sklephp.pl/login – wywala to samo. Przy przeglądaniu imgura – to samo, przy korzystaniu z wp.pl – to samo. Generalnie bałem się, że jakiś syf nam do firmy się wdarł, a tu, prosze, miła niespodzianka..

  34. Nie da się także wejść na Naszą Klasę – http://www.nk.pl – tutaj zrywa całe połączenie ze stroną.
    PS. Nie, nie korzystam z tego portalu. Klient zgłosił problem i od tego się zaczęło…

  35. Nawet na googleapis.com znajduje, w szablonach wordpressa… dali plamę.

  36. I zapomniałem dodać, że poza JS/ScrInject.B eset znajduje również HTML/Refresh.BC

  37. Skoro piszecie o takich stronach jak onet i wp to proponuje się zainteresować sterownikami od nvidia. Już od dłuższego czasu przy rozpakowywaniu instalatora ESET wykrywa wirusa i usuwa plik, wówczas nie da się zainstalować sterwoników.

  38. Problem wygląda na globalny i związany z bazą sygnatur wirusów 13102.
    Tu link do forum Eset
    https://forum.eset.com/topic/7550-wrong-detection-website-infection-jsscrinjectb/

  39. W moim przypadku problem dotyczy również próby wejścia na maszyne wirtualną. Eset blokuje krzycząc: HTML/Refresh.BC koń trojański :(

  40. I wszystko jasne:
    After the update 13102, we started receiving reports about “JS/ScrInject.B” and “HTML/Refresh.BC” detections on various websites. The update was stopped immediately to mitigate the impact on users.

    A new engine update 13103 is being prepared that will address the issue. In the mean time, as a hotfix you can switch to pre-release updates and then back.

    We apologize for the inconvenience.

    https://forum.eset.com/topic/7567-jsscrinjectb-and-htmlrefreshbc-false-positive/

  41. U mnie z poziomu IE, jeżeli coś próbuję wyszukać w google a następnie kliknę w link wyszukiwania to strona jest blokowana przez ESET. Bez znaczenia na jaką stronę chcę wejść. Na chromie wszystko działa prawidłowo. Problem występuje na kikudzisięciu komputarach, w różnych lokalizacjach.

    poniżej komunikat:

    Dostęp do strony został zablokowany.
    http://www.google.pl/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&sqi=2&ved=0ahUKEwieocu06ZzLAhVKCpoKHd5_BukQFggbMAA&url=http://www.onet.pl/&usg=AFQjCNGzdKGJb0D4N142iHAnyS7WysXo8w&sig2=g0HqyYQhlwBzS2k7jR93Pg&bvm=bv.115339255,d.bGg

    Zagrożenie: HTML/Refresh.BC koń trojański

  42. Feedly i Sitepoint też sypią false’ami ;) Tam allegro raczej nie dotarło ;)

  43. Off topic, ale po co wchodzic na strony onet.pl i wp.pl? mamy 2016 rok juz dzieki bogu

  44. U mnie od aktualizacji o 10:25 telefony od kilku userów …
    Pobieżna analiza wykazała NIC.
    Czekamy.

  45. Problem występuje przy wersji bazy wirusów 13102. Z tego co widzę, to nie można już jej pobrać jeśli ktoś ma wersje 13101, więc raczej false-positive.

    • 13103 nie sypie już ostrzeżeniami.

  46. Tutaj ESET też sypie false-positivem ….

  47. Wygląda na coś nie tak z NODem, dzisiaj cała firma stoi, bo na co drugiej stronie wyrzuca taki błąd.
    Nawet durny meta-refresh, którego używamy wewnętrznie do przekierowania na inny site wywala error i wszystko blokuje…

    • Cofnij aktualizacje do 1101 jeśli ESET pokonał waszą firmę, że stanęła :P

    • Spoko – kawuchę dłuższą sobie strzelili, jak skończyli to wyszedł nowy update :)

  48. Na chomikuj też

  49. Spokojnie- napewno false positive, W ciagu godziny mają to naprawić. Wsparcie techniczne potwierdza, jak ktoś potrzebuje można zadzwonić

    http://www.eset.pl/O_nas/DAGMA/Kontakt

  50. W dniu dzisiejszym ESET wypuścił sygnatury 13102, które niestety powodują wyświetlenie alertów false-positive dla różnych witryn internetowych. Ten fakt potwierdziło wsparcie techniczne Eset.

  51. Dodzwoniłem się do Eseta. Popsuli ostatnią aktualizację ;/ W ciągu 2-3 godzin maja usunąć problem i wypuścić aktualizację. :)

  52. Eset blokuje także skrypty ze stron sharepointowych.

  53. Już wyszła nowa baza 5 minut temu: 13103

  54. Jest JUŻ AKTUALIZACJA – pobierajcie

  55. Jest update 13103 bazy.

  56. widocznie coś w Eset się wkradło :) albo inteligenci wrzucili aktualizację i zaczęło blokować strony które mają jakiś kod (który większość stron/portalów wykorzystuje).

  57. Odpowiedź od Dagmy odnośnie tego problemu:
    Witam

    Występuje falsepossitive dla sygnatur 13102 do godziny wszystko wróci do normy, na chwilę obecną proszę o cierpliwość, błąd powinien ustąpić w ciągu najbliższych godzin. Za powstałe utrudnienia przepraszamy w imieniu producenta.

  58. Pojawiła się aktualizacja sygnatur o numerze 13103 i wszystko działa już prawidłowo.

  59. Nawet mój firmowy intranet jest blokowany :)

  60. 13103 – działa.

  61. To prawda, zaktualizowalem i już wszystko śmiga.

  62. Zauważyłem że też na naszych stronach znajduje wirusy: HTMl/refresh.bc
    Po przeanalizowaniu wszystkiego po prostu blokuje redirect, czyli standardowe header location a w laravelu, symfony, codeigniter redirect. Typowy poniedziałek że nic nie działa :D

  63. Super.aktualizacja załatwiła sprawę.Sie wystrachałem na maxa

  64. Już jest OK

  65. Zaczęło się od allegro, wszystkie strony na jakie wchodziłem coś było nie tak, a niektóre wcale się nie ładowały.

    Cofnąłem aktualizacje w eset to mi blue screen wyskoczył i restart kompa, ale działa i nic nie wywala

  66. Potwierdzam działa:)

  67. Poniżej wysyłam instrukcje jak cofnąć bazę sygnatur dla konkretnych produktów:

    Cofanie baz sygnatur dla ESET domowy wersja 8 i niżej

    http://support.eset.com/kb3351/?locale=en_US

    Cofanie baz sygnatur dla ESET biznesowy wersja 5

    http://support.eset.com/kb3008/?locale=en_US

    Cofanie baz sygnatur dla ESET biznesowy wersja 6
    http://support.eset.com/kb3676/?locale=en_US

  68. ok, potwierdzam wersja sygnatury 13103 rozwiązuje problem.

  69. Już się ogarnęli, nowa paczka aktualizacyjna rozwiązuje problem.

  70. goldenline.pl >> Js/ScrInject.B koń trojański

    ciekawe ;)

  71. U mnie też od 10;40 nie mogłem wejść na wp i olx i inne strony tez niby mi został wirus na tych stonach

  72. Ja na zablokowany “wstecz” i wibracje mam prosty patent. Klikam widok listy kart, i zamykam na chama. Nic nie klikam ok, czy anuluj. Jestem pewien że pod “anuluj” jest zapięta akcja “ok”. Tylko wypier.,.ć na chama.

  73. Cholera po tej aktualizacji nawaliły komputery w firmach, wszędzie się uruchamiają narzędzia do naprawy. Robota mam od cholery przez tego Eseta :/

  74. Płatnik po ostatniej aktualizacji ESETa też przestał działać. Oj Panowie, dajecie d… ciała.

  75. Nie wiem czy wiecie misiaki-niebezpieczniaki, ale to polski oddział ESETu w Krakowie odpowiada m.in. za tworzenie sygnatur, które wysyłają do centrali.

    Osobiście odpowiedzialny za polski oddział ESETu jest Pan Jakub Dębski

    http://tech.wp.pl/kat,1009791,title,ESET-otwiera-nowe-wieksze-biuro-w-Krakowie,wid,11917525,wiadomosc.html?ticaid=116a0f&_ticrsn=3

    Może jakiś komentarz panie Kubo? Czy to polski oddział spartaczył?

  76. Jestem ciekawy, kto był winny tej sytuacji. Myślę, że polski oddział się nie przyzna.

  77. Pamiętam, że była też sytuacja w której płatnik po aktualizacji eseta też przestał działać.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: