10:31
30/4/2010

Nadchodzi majówka. Jedni wyjeżdżają poza miasto, inni dalej ściągają warezy ;) Jeden z czytelników podesłał nam taki oto screenshot:

False-positive Kasperskiego, czy groźny atak?

Wygląda na to, że Kaspersky jest prawie tak przewrażliwiony jak McAfee, na szczęście jego alarmy nie powodują restartów ;-)

Jakie macie pomysły, co może uzasadniać takie zachowanie Kasperskiego? False-positive, przekierowanie faviconki, czy jakiś dodatek do Firefoksa? Pomóżcie naszemu anonimowemu czytelnikowi.

P.S. Niektórzy dowcipnie żartują, że Kasper ma wbudowany własny moduł OCR, a na favikonie był napis <script>$zuo</script>

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Ja myślę że przyczyną jest wartość artystyczna tego filmu.

    “Tara Gregson, która jest żoną i matką dwójki dzieci, cierpi na zaburzenie dysocjacyjne tożsamości. Gdy tylko jest zestresowana zamienia się w całkiem inną osobę: dziką i namiętną nastolatkę; panią domu Alice; wietnamskiego mężczyznę lubiącego wypić piwo Bucka czy “nieludzką” Gimme. Wspierana przez męża Maxa musi poradzić sobie z problemami dorastającej córki Kate oraz synem Marshallem, ekscentrycznym, jednak bardzo życzliwym gejem. Dodatkowo jej siostra Charmaine nie do końca wierzy w zaburzenia swojej siostry.”

  2. Wirus był już i w bannerze reklamowym, zaś ścieżka wskazuje na katalog a nie konkretny plik (tak więc wszystko jest możliwe, zwłaszcza jeśli ktoś nie wyłączył funkcji ukryj rozszerzenia znanych typów plików).

  3. nie rozumiem.. przeciez wyraźnie widać, że plik favicony robi przekierowanie, a pod przekierowanym adresem jest to .. coś.. zaraz sprawdzę zresztą

  4. teraz juz tego nie ma, i pojawia sie 404

  5. Czytelnik tak otwarcie się przyznaje do poszukiwania pirackich materiałów :)?

  6. To ja tylko dodam do postu vi.currego, że prefetching, z którego korzysta Kaspersky (czyli pobieranie w tle stron, na które jeszcze nie wszedł – a może wejść użytkownik) może okazać się morderczy na “mobilnym” internecie… Ja osobiście nie przepadam za softem, który stara się przewidzieć moje ruchy, ale w przypadku antywirusa może to być uzasadnione ;)

  7. Wyłącz dodatek do firefoxa LinkExtend. Kaspersky raczej nie posiada takiego modułu co pobiera strony zanim się je odwiedzi.

  8. Hmm ciekawe – podobny objaw dziś widziałem przy antywirusie Avast wersja 5 – przeglądarka to Firefox 3.6x.

  9. klikam na obrazek, zeby go powiekszyc, a zamiast tego przenosi mnie na inna strona z obrazkiem tego samego rozmiaru, na ktory trzeba jeszcze raz kliknac, troche bez sensu.

  10. Firefox domyślnie pobiera linki oznaczone tagiem prefetch

  11. W celach testowych odwiedziłem wspomniany serwer, efekt do obejrzenia na obrazku:
    http://www.przeklej.pl/plik/warez4u-fuck-png-001391bd796u

    [Linux Mint 8 Helena]

  12. Mam nadzieje że szanowny anonimowy użytkownik zdaje sobie sprawe z tego, że przy łączniu się praktycznie z każdą stroną komunikuje się z serwerami WOT , które zapewne mają dokładną listę KAŻDEJ strony jaką przegląda? No to dobrze ;]

  13. Odwiedzenie tej witryny może spowodować uszkodzenie komputera! Hakuje chłodzenie procka czy karty graficznej? bo tak o to może co najwyżej system uszkodzić (o ile to IE albo stara,niektulizowana wersja innej przeglądarki).

  14. Miałem podobną sytuacje gdy na serwerze nie było favicon, a złośliwy skrypt siedział w stronie błędu 404.

  15. WOT serwer? Ki diabeł?

  16. Kurczę, te obrazki nie mogą się od razu otwierać? Klikasz, przenosi Cię na nową stronę, musisz czekać, aż się wczyta i dopiero teraz po ponownym kliknięciu możesz obejrzeć screena :V

  17. Mi po wpisaniu w google “bombolada” avast wywala znalezienie konia trojańskiego :D

  18. Wpisałem adres warez4u.pl i avast nie przepuścił – stwierdził, że strona to robak na robaku i robaka pogania.

  19. Wątpię aby ten link był przesyłany z wyników Google. Ewidentnie na obrazku widać, że użytkownik klikał już po tych linkach /inny kolor odnośnika/. Kilka linków niżej /wpiszcie sobie w google/ jest link do warez4u i zapewne użytkownik już też w ten link kliknął ale tego już nie pokazał.

    Sama strona warez4u zawiera faviconke w /templates/x401/images/favicon.ico więc tutaj odnośnik zawierał normalną treść HTML, która była zainfekowana.

    Ewentualnie dodatek do FF (IMHO większe prawdopodobieństwo) lub prefetch Kasperskyego pobrał stronę wcześniej.

    Sorry ale Kaspersky zadziałał według mnie jak należy.

  20. Pisałem wcześniej o dodatku LinkExtend.
    Po instalacji tegoż bajeru miałem taki sam efekt jak na screenie.
    Ewidentnie LinkExtend jest jednym z mniej bezpiecznych dodatków.

  21. […] przypadki false-positve’ów wśród antywirusów to: Kaspersky i pliki ikon, czy też McAfee i awaria 800 tys. komputerów oraz ESET i Onet a także BitDefender i […]

  22. Strona warez4u.pl działa bez problemu pod Kaspersky Pure, Google Chrome, Firefox oraz RockMelt. Więcej przeglądarek nie mam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.