20:12
21/9/2010

Już kilkunastu czytelników podesłało nam informację, że program antywirusowy Eset (NOD32) wykrywa na głównej stronie Onetu trojana JS/Fraud.NAB. Nie ma się jednak czym przejmować, gdyż jest to klasyczny przypadek false-positive’a. Szczegóły poniżej.

Trojan na Onecie [JS/Fraud.NAB]

Znajdujący się pod adresem:
http://www.onet.pl/data/js/ab4c03d4db57fcb3b585b5f374401ea4a,javascript_sb.js
malware zawiera kilkadziesiąt (kilkaset?) funkcji JavaScript wykorzystywanych przez nową stronę główną Onetu — ich autorem, jeśli wierzyć nagłówkowi pliku jest Dreamlab, czyli onetowy zespół programistów. Sygnatura w pliku wskazuje 19 września 2010 jako datę ostatniej zmiany. Tutaj mirror pliku.

Wirus na Onecie

Komunikat Esetu (NOD32) po wejściu na stronę Onet.pl (fot. Bogdan Malinowski ekutno.pl)

O ile możliwe jest, że jakiś malware przewędrował do pliku np. z komputera jednego z developerów, tak jak miało to miejsce w przypadku pajacyk.pl, to cały alarm antywirusowy Eseta wskazuje raczej na niegroźny false-positive. Przypomnijmy, że całkiem niedawno Esetowi przydarzyła się podobna sytuacja, z tym, że w kontekście Windowsa, por. Eset zawiesił tysiące komputerów — taki już los oprogramowania antywirusowego, aby “lepiej nas chronić” czasem staje się (mocno) przewrażliwione ;-).

Co na to inne antywirusy?

SafeBrowsing od Google milczy. Podobnie przeskanowanie pliku przy pomocy serwisu VirusTotal.com daje efekt 0/43 (co ciekawe, nawet Esetowy silnik używany przez VirusTotala nie reaguje na ten plik…).

Wirus na Onecie (VirusTotal)

Wirus na Onecie (raport TotalVirus)

A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)

P.S. Wzięliśmy plik na tapetę i przeczesujemy go pod kątem podejrzanych instrukcji. Jeśli znajdziemy w nim coś niepokojącego, zaktualizujemy ten post. W międzyczasie zastanówcie się, czy nie warto wyłączyć obsługi JavaScript w przeglądarce np. przy pomocy NoScripta. Przemawia za tym także dzisiejszy atak na Twitterze.

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Witamy,
    Dziękujemy za list.

    Uprzejmie dziękujemy za przesłane informacje. Zapewaniamy, że portal
    Onet.pl nie został zainfekowany wirusem (trojanem). Sytuacja związana jest
    z błędnym rozpoznaniem (false-positive) przez ESET NOD32 fragmentu kodu
    naszej strony. Problem został zgłoszony do producenta oprogramowania
    antywirusowego i obecnie trwają pracę nad jego rozwiazaniem. Ostrzeżenie o
    rzekomym wirusie nie występuje na innych antywirusach.

    Błąd można też ominąć dodając witrynę Onet.pl do zaufanych. Krótka
    instrukcja:
    Klikając prawym przyciskiem myszy na ?ustawienia zaawansowane? na ikonce
    programu w pasku stanu (ustawienia zaawansowane trzeba włączyć ? domyślnie
    są wyłączone) prosimy przejść w drzewie menu do ?Zarządzanie adresami?i
    dodać regułę do ?Listy adresów wyłączonych z filtrowania? w postaci
    http://www.onet.pl/*

    Pozdrawiamy,
    BOK Grupa Onet.pl SA
    Infolinia: 0801 080 200

    BOK jest czynne od poniedziałku do piątku w godzinach: 7:00 – 23:00
    oraz w soboty i niedziele w godzinach: 10:00- 18:00

    Grupa Onet.pl SA, ul. Gabrieli Zapolskiej 44, 30-126 Kraków; Spółka
    zarejestrowana w Sądzie Rejonowym dla miasta Kraków-Śródmieście, XI Wydział
    Gospodarczy, KRS 0000007763; NIP 734-00-09-469, Kapitał Zakładowy Spółki 8049 073 PLN.

    • O ile słusznie Onet podaje w swoim oświadczeniu, że jest to false-positive, o tyle sugestia żeby permanentnie wyłączyć ich domenę ze skanowania jest hmm… mało profesjonalna ;-)
      Na szczęście Onet nie każe tego robić, a jedynie pisze, że “można”…

  2. Hmmm mysle ze nawet jak sie trafi FP w takim przypadku to niema tragedii – umowmy sie ze gdyby na onecie FAKTYCZNIE cos sie takiego wydarzylo to polowa polskich internautow byla by kompami zombie po prawdziwej nieswiadomej infekcji :) tak wiec lepiej jeden alaram wiecej niz 1 za malo tak ? Jakby nie patrzec – kompa nie zjadlo jak to zrobil mc afee :) ani nie zawiesilo jak jakis czas temu, wiec fakt jest problem ale bez haosu pewnie eset to naprawi w kolejnych aktualizacjach

  3. dodac do wylaczen cala domene ?? :D hmmm wole poczekac na aktualizacje sygnatur :D

  4. Dokładnie @Jaro, z tym dodaniem do wyłączeń grubo przesadzili!!!

  5. Do ciekawostek z nodem mozna zaliczyc jeszcze to ze przez dluzszy czas na oficjalnej Polskiej stronie byl widoczny napisal joomla i ze serwis w przebudowie i tak przez kilka dni ;) Tak z innej beczki to przynajmniej nie stosuja takich chinskich chlytow marketingowych jak ostatnio zonealarm http://forums.zonealarm.com/showthread.php?t=75332

  6. A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)

    Same artykuły również nie należą do najbezpieczniejszych. Burzą mózgowe struktury zdrowego rozsądku i pozbawiają tenże mózg zdolności samodzielnej analizy faktów prowadzącej z reguły do wyciągnięcia wniosków. Onet zakłada więc brain-sim-lock swoim potencjalnym ofiarom.

  7. I po krzyku :) nowy update do 5468 i problem znikl :)

  8. @Odstresowany: Nie tylko Onet. Dziś miałem wątpliwą przyjemność poczytania paru wiadomości z wp.pl. Żenujące jest czym jest karmione społeczeństwo na takich portalach, bo to przecież nie tylko problem Onet, WP ale większości tego typu stron (oficjalnego nurtu? = ogłupiającego nurtu?)

  9. A takie pytanie mam :) Czy tu http://www.google.com/safebrowsing/diagnostic?site=onet.pl
    mowa o tym samym onet.pl ,czy o jakimś innym onet.pl ? Można dodać to
    http://www.google.com/safebrowsing/diagnostic?site=neurotic-to-the-bone.blog.onet.pl/ to zaufanych ?

  10. Do Jaro
    mam update 5468 i problem ie znikł:(

  11. Dlatego na portale typu onet zawalone tona reklam i niewiadomo czym jeszcze nie wchodzi sie bez NoScripta (;

  12. Heh false positive :)

  13. echhh, znowu ten eset.

  14. baza wirusow 5469 rozwiązuje problem

  15. Karanie eseta swoją drogą, mi ostatnio kaspersky z byle dupsa tragedie robi. Przynajmniej 2-3 razy w tygodniu jakieś super heurystyczne wykrycie w plikach, które lata na dysku leżą i nic nie robią.

  16. Zawiodła heurystyka Eseta. A ileż to razy PG2/ PeerBlock odrzuca IP powiązane z największymi portalami. W ogóle to jak są tworzone te “czarne listy” IP, które później są blokowane ?

  17. Mam update 5471 – brak ostrzeżeń, wcześniej owszem były.

  18. Oto fragment listu Łonetu do antywirusiaków:
    Uprzejmie prosimy o zmianę w antywirusie, bo trojany otrzymaliśmy od msw ;) a z koniem, jak to wiadomo, się nie kopie. Prosimy o ukrycie monitów o wiruskach, bo bardzo je lubimy i chcemy se je wykorzystać. No i chcemy podglądać Dodę w kąpieli, a bez tego ani rusz. Wzamian oferujemy ip dody i jednego wiruska gratis. Deal?

  19. Jak to nie ja nie mogę na Onet wejść bo zaraz jakieś wirusy blokują stronę i muszę kompletnie wyłączyć ja bo inaczej nic nie dzala zo za gówno na innych stronach tego nie ma jak na Onecie Onet.pl schodzi na psy i jest coraz bardziej brzydula i zawirowania!!!!!!!!

  20. „na tapet”, nie „na tapetę” („tę tapetę tu, tamtę tapetę tam”?!)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: