20:12
21/9/2010

Już kilkunastu czytelników podesłało nam informację, że program antywirusowy Eset (NOD32) wykrywa na głównej stronie Onetu trojana JS/Fraud.NAB. Nie ma się jednak czym przejmować, gdyż jest to klasyczny przypadek false-positive’a. Szczegóły poniżej.

Trojan na Onecie [JS/Fraud.NAB]

Znajdujący się pod adresem:
http://www.onet.pl/data/js/ab4c03d4db57fcb3b585b5f374401ea4a,javascript_sb.js
malware zawiera kilkadziesiąt (kilkaset?) funkcji JavaScript wykorzystywanych przez nową stronę główną Onetu — ich autorem, jeśli wierzyć nagłówkowi pliku jest Dreamlab, czyli onetowy zespół programistów. Sygnatura w pliku wskazuje 19 września 2010 jako datę ostatniej zmiany. Tutaj mirror pliku.

Wirus na Onecie

Komunikat Esetu (NOD32) po wejściu na stronę Onet.pl (fot. Bogdan Malinowski ekutno.pl)

O ile możliwe jest, że jakiś malware przewędrował do pliku np. z komputera jednego z developerów, tak jak miało to miejsce w przypadku pajacyk.pl, to cały alarm antywirusowy Eseta wskazuje raczej na niegroźny false-positive. Przypomnijmy, że całkiem niedawno Esetowi przydarzyła się podobna sytuacja, z tym, że w kontekście Windowsa, por. Eset zawiesił tysiące komputerów — taki już los oprogramowania antywirusowego, aby “lepiej nas chronić” czasem staje się (mocno) przewrażliwione ;-).

Co na to inne antywirusy?

SafeBrowsing od Google milczy. Podobnie przeskanowanie pliku przy pomocy serwisu VirusTotal.com daje efekt 0/43 (co ciekawe, nawet Esetowy silnik używany przez VirusTotala nie reaguje na ten plik…).

Wirus na Onecie (VirusTotal)

Wirus na Onecie (raport TotalVirus)

A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)

P.S. Wzięliśmy plik na tapetę i przeczesujemy go pod kątem podejrzanych instrukcji. Jeśli znajdziemy w nim coś niepokojącego, zaktualizujemy ten post. W międzyczasie zastanówcie się, czy nie warto wyłączyć obsługi JavaScript w przeglądarce np. przy pomocy NoScripta. Przemawia za tym także dzisiejszy atak na Twitterze.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

21 komentarzy

Dodaj komentarz
  1. Witamy,
    Dziękujemy za list.

    Uprzejmie dziękujemy za przesłane informacje. Zapewaniamy, że portal
    Onet.pl nie został zainfekowany wirusem (trojanem). Sytuacja związana jest
    z błędnym rozpoznaniem (false-positive) przez ESET NOD32 fragmentu kodu
    naszej strony. Problem został zgłoszony do producenta oprogramowania
    antywirusowego i obecnie trwają pracę nad jego rozwiazaniem. Ostrzeżenie o
    rzekomym wirusie nie występuje na innych antywirusach.

    Błąd można też ominąć dodając witrynę Onet.pl do zaufanych. Krótka
    instrukcja:
    Klikając prawym przyciskiem myszy na ?ustawienia zaawansowane? na ikonce
    programu w pasku stanu (ustawienia zaawansowane trzeba włączyć ? domyślnie
    są wyłączone) prosimy przejść w drzewie menu do ?Zarządzanie adresami?i
    dodać regułę do ?Listy adresów wyłączonych z filtrowania? w postaci
    http://www.onet.pl/*

    Pozdrawiamy,
    BOK Grupa Onet.pl SA
    Infolinia: 0801 080 200

    BOK jest czynne od poniedziałku do piątku w godzinach: 7:00 – 23:00
    oraz w soboty i niedziele w godzinach: 10:00- 18:00

    Grupa Onet.pl SA, ul. Gabrieli Zapolskiej 44, 30-126 Kraków; Spółka
    zarejestrowana w Sądzie Rejonowym dla miasta Kraków-Śródmieście, XI Wydział
    Gospodarczy, KRS 0000007763; NIP 734-00-09-469, Kapitał Zakładowy Spółki 8049 073 PLN.

    • O ile słusznie Onet podaje w swoim oświadczeniu, że jest to false-positive, o tyle sugestia żeby permanentnie wyłączyć ich domenę ze skanowania jest hmm… mało profesjonalna ;-)
      Na szczęście Onet nie każe tego robić, a jedynie pisze, że “można”…

  2. Hmmm mysle ze nawet jak sie trafi FP w takim przypadku to niema tragedii – umowmy sie ze gdyby na onecie FAKTYCZNIE cos sie takiego wydarzylo to polowa polskich internautow byla by kompami zombie po prawdziwej nieswiadomej infekcji :) tak wiec lepiej jeden alaram wiecej niz 1 za malo tak ? Jakby nie patrzec – kompa nie zjadlo jak to zrobil mc afee :) ani nie zawiesilo jak jakis czas temu, wiec fakt jest problem ale bez haosu pewnie eset to naprawi w kolejnych aktualizacjach

  3. dodac do wylaczen cala domene ?? :D hmmm wole poczekac na aktualizacje sygnatur :D

  4. Dokładnie @Jaro, z tym dodaniem do wyłączeń grubo przesadzili!!!

  5. Do ciekawostek z nodem mozna zaliczyc jeszcze to ze przez dluzszy czas na oficjalnej Polskiej stronie byl widoczny napisal joomla i ze serwis w przebudowie i tak przez kilka dni ;) Tak z innej beczki to przynajmniej nie stosuja takich chinskich chlytow marketingowych jak ostatnio zonealarm http://forums.zonealarm.com/showthread.php?t=75332

  6. A zatem, śpijcie spokojnie, Onet jest niegroźny, a krzywdę może Wam zrobić tylko jeśli zaczniecie czytać komentarze pod umieszczonymi na Onecie artykułami ;-)

    Same artykuły również nie należą do najbezpieczniejszych. Burzą mózgowe struktury zdrowego rozsądku i pozbawiają tenże mózg zdolności samodzielnej analizy faktów prowadzącej z reguły do wyciągnięcia wniosków. Onet zakłada więc brain-sim-lock swoim potencjalnym ofiarom.

  7. I po krzyku :) nowy update do 5468 i problem znikl :)

  8. @Odstresowany: Nie tylko Onet. Dziś miałem wątpliwą przyjemność poczytania paru wiadomości z wp.pl. Żenujące jest czym jest karmione społeczeństwo na takich portalach, bo to przecież nie tylko problem Onet, WP ale większości tego typu stron (oficjalnego nurtu? = ogłupiającego nurtu?)

  9. A takie pytanie mam :) Czy tu http://www.google.com/safebrowsing/diagnostic?site=onet.pl
    mowa o tym samym onet.pl ,czy o jakimś innym onet.pl ? Można dodać to
    http://www.google.com/safebrowsing/diagnostic?site=neurotic-to-the-bone.blog.onet.pl/ to zaufanych ?

  10. Do Jaro
    mam update 5468 i problem ie znikł:(

  11. Dlatego na portale typu onet zawalone tona reklam i niewiadomo czym jeszcze nie wchodzi sie bez NoScripta (;

  12. Heh false positive :)

  13. echhh, znowu ten eset.

  14. baza wirusow 5469 rozwiązuje problem

  15. Karanie eseta swoją drogą, mi ostatnio kaspersky z byle dupsa tragedie robi. Przynajmniej 2-3 razy w tygodniu jakieś super heurystyczne wykrycie w plikach, które lata na dysku leżą i nic nie robią.

  16. Zawiodła heurystyka Eseta. A ileż to razy PG2/ PeerBlock odrzuca IP powiązane z największymi portalami. W ogóle to jak są tworzone te “czarne listy” IP, które później są blokowane ?

  17. Mam update 5471 – brak ostrzeżeń, wcześniej owszem były.

  18. Oto fragment listu Łonetu do antywirusiaków:
    Uprzejmie prosimy o zmianę w antywirusie, bo trojany otrzymaliśmy od msw ;) a z koniem, jak to wiadomo, się nie kopie. Prosimy o ukrycie monitów o wiruskach, bo bardzo je lubimy i chcemy se je wykorzystać. No i chcemy podglądać Dodę w kąpieli, a bez tego ani rusz. Wzamian oferujemy ip dody i jednego wiruska gratis. Deal?

  19. Jak to nie ja nie mogę na Onet wejść bo zaraz jakieś wirusy blokują stronę i muszę kompletnie wyłączyć ja bo inaczej nic nie dzala zo za gówno na innych stronach tego nie ma jak na Onecie Onet.pl schodzi na psy i jest coraz bardziej brzydula i zawirowania!!!!!!!!

  20. „na tapet”, nie „na tapetę” („tę tapetę tu, tamtę tapetę tam”?!)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: