21/9/2010
Już kilkunastu czytelników podesłało nam informację, że program antywirusowy Eset (NOD32) wykrywa na głównej stronie Onetu trojana JS/Fraud.NAB. Nie ma się jednak czym przejmować, gdyż jest to klasyczny przypadek false-positive’a. Szczegóły poniżej.
Trojan na Onecie [JS/Fraud.NAB]
Znajdujący się pod adresem:
http://www.onet.pl/data/js/ab4c03d4db57fcb3b585b5f374401ea4a,javascript_sb.js
malware zawiera kilkadziesiąt (kilkaset?) funkcji JavaScript wykorzystywanych przez nową stronę główną Onetu — ich autorem, jeśli wierzyć nagłówkowi pliku jest Dreamlab, czyli onetowy zespół programistów. Sygnatura w pliku wskazuje 19 września 2010 jako datę ostatniej zmiany. Tutaj mirror pliku.
Komunikat Esetu (NOD32) po wejściu na stronę Onet.pl (fot. Bogdan Malinowski ekutno.pl)
O ile możliwe jest, że jakiś malware przewędrował do pliku np. z komputera jednego z developerów, tak jak miało to miejsce w przypadku pajacyk.pl, to cały alarm antywirusowy Eseta wskazuje raczej na niegroźny false-positive. Przypomnijmy, że całkiem niedawno Esetowi przydarzyła się podobna sytuacja, z tym, że w kontekście Windowsa, por. Eset zawiesił tysiące komputerów — taki już los oprogramowania antywirusowego, aby “lepiej nas chronić” czasem staje się (mocno) przewrażliwione ;-).
Co na to inne antywirusy?
SafeBrowsing od Google milczy. Podobnie przeskanowanie pliku przy pomocy serwisu VirusTotal.com daje efekt 0/43 (co ciekawe, nawet Esetowy silnik używany przez VirusTotala nie reaguje na ten plik…).
Wirus na Onecie (raport TotalVirus)
A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)
P.S. Wzięliśmy plik na tapetę i przeczesujemy go pod kątem podejrzanych instrukcji. Jeśli znajdziemy w nim coś niepokojącego, zaktualizujemy ten post. W międzyczasie zastanówcie się, czy nie warto wyłączyć obsługi JavaScript w przeglądarce np. przy pomocy NoScripta. Przemawia za tym także dzisiejszy atak na Twitterze.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Witamy,
Dziękujemy za list.
Uprzejmie dziękujemy za przesłane informacje. Zapewaniamy, że portal
Onet.pl nie został zainfekowany wirusem (trojanem). Sytuacja związana jest
z błędnym rozpoznaniem (false-positive) przez ESET NOD32 fragmentu kodu
naszej strony. Problem został zgłoszony do producenta oprogramowania
antywirusowego i obecnie trwają pracę nad jego rozwiazaniem. Ostrzeżenie o
rzekomym wirusie nie występuje na innych antywirusach.
Błąd można też ominąć dodając witrynę Onet.pl do zaufanych. Krótka
instrukcja:
Klikając prawym przyciskiem myszy na ?ustawienia zaawansowane? na ikonce
programu w pasku stanu (ustawienia zaawansowane trzeba włączyć ? domyślnie
są wyłączone) prosimy przejść w drzewie menu do ?Zarządzanie adresami?i
dodać regułę do ?Listy adresów wyłączonych z filtrowania? w postaci
http://www.onet.pl/*
—
Pozdrawiamy,
BOK Grupa Onet.pl SA
Infolinia: 0801 080 200
BOK jest czynne od poniedziałku do piątku w godzinach: 7:00 – 23:00
oraz w soboty i niedziele w godzinach: 10:00- 18:00
Grupa Onet.pl SA, ul. Gabrieli Zapolskiej 44, 30-126 Kraków; Spółka
zarejestrowana w Sądzie Rejonowym dla miasta Kraków-Śródmieście, XI Wydział
Gospodarczy, KRS 0000007763; NIP 734-00-09-469, Kapitał Zakładowy Spółki 8049 073 PLN.
O ile słusznie Onet podaje w swoim oświadczeniu, że jest to false-positive, o tyle sugestia żeby permanentnie wyłączyć ich domenę ze skanowania jest hmm… mało profesjonalna ;-)
Na szczęście Onet nie każe tego robić, a jedynie pisze, że “można”…
Hmmm mysle ze nawet jak sie trafi FP w takim przypadku to niema tragedii – umowmy sie ze gdyby na onecie FAKTYCZNIE cos sie takiego wydarzylo to polowa polskich internautow byla by kompami zombie po prawdziwej nieswiadomej infekcji :) tak wiec lepiej jeden alaram wiecej niz 1 za malo tak ? Jakby nie patrzec – kompa nie zjadlo jak to zrobil mc afee :) ani nie zawiesilo jak jakis czas temu, wiec fakt jest problem ale bez haosu pewnie eset to naprawi w kolejnych aktualizacjach
dodac do wylaczen cala domene ?? :D hmmm wole poczekac na aktualizacje sygnatur :D
Dokładnie @Jaro, z tym dodaniem do wyłączeń grubo przesadzili!!!
Do ciekawostek z nodem mozna zaliczyc jeszcze to ze przez dluzszy czas na oficjalnej Polskiej stronie byl widoczny napisal joomla i ze serwis w przebudowie i tak przez kilka dni ;) Tak z innej beczki to przynajmniej nie stosuja takich chinskich chlytow marketingowych jak ostatnio zonealarm http://forums.zonealarm.com/showthread.php?t=75332
A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)
Same artykuły również nie należą do najbezpieczniejszych. Burzą mózgowe struktury zdrowego rozsądku i pozbawiają tenże mózg zdolności samodzielnej analizy faktów prowadzącej z reguły do wyciągnięcia wniosków. Onet zakłada więc brain-sim-lock swoim potencjalnym ofiarom.
I po krzyku :) nowy update do 5468 i problem znikl :)
@Odstresowany: Nie tylko Onet. Dziś miałem wątpliwą przyjemność poczytania paru wiadomości z wp.pl. Żenujące jest czym jest karmione społeczeństwo na takich portalach, bo to przecież nie tylko problem Onet, WP ale większości tego typu stron (oficjalnego nurtu? = ogłupiającego nurtu?)
A takie pytanie mam :) Czy tu http://www.google.com/safebrowsing/diagnostic?site=onet.pl
mowa o tym samym onet.pl ,czy o jakimś innym onet.pl ? Można dodać to
http://www.google.com/safebrowsing/diagnostic?site=neurotic-to-the-bone.blog.onet.pl/ to zaufanych ?
Do Jaro
mam update 5468 i problem ie znikł:(
Dlatego na portale typu onet zawalone tona reklam i niewiadomo czym jeszcze nie wchodzi sie bez NoScripta (;
Heh false positive :)
echhh, znowu ten eset.
baza wirusow 5469 rozwiązuje problem
Karanie eseta swoją drogą, mi ostatnio kaspersky z byle dupsa tragedie robi. Przynajmniej 2-3 razy w tygodniu jakieś super heurystyczne wykrycie w plikach, które lata na dysku leżą i nic nie robią.
Zawiodła heurystyka Eseta. A ileż to razy PG2/ PeerBlock odrzuca IP powiązane z największymi portalami. W ogóle to jak są tworzone te “czarne listy” IP, które później są blokowane ?
Mam update 5471 – brak ostrzeżeń, wcześniej owszem były.
Oto fragment listu Łonetu do antywirusiaków:
Uprzejmie prosimy o zmianę w antywirusie, bo trojany otrzymaliśmy od msw ;) a z koniem, jak to wiadomo, się nie kopie. Prosimy o ukrycie monitów o wiruskach, bo bardzo je lubimy i chcemy se je wykorzystać. No i chcemy podglądać Dodę w kąpieli, a bez tego ani rusz. Wzamian oferujemy ip dody i jednego wiruska gratis. Deal?
Jak to nie ja nie mogę na Onet wejść bo zaraz jakieś wirusy blokują stronę i muszę kompletnie wyłączyć ja bo inaczej nic nie dzala zo za gówno na innych stronach tego nie ma jak na Onecie Onet.pl schodzi na psy i jest coraz bardziej brzydula i zawirowania!!!!!!!!
„na tapet”, nie „na tapetę” („tę tapetę tu, tamtę tapetę tam”?!)