Firefox обвиняет меня в распространении вредоносного ПО на моем сайте

45

Я заметил, что Firefox решил заблокировать некоторые установщики EXE с моего сайта, показывая метку Blocked: Может содержать вирус или шпионское ПО . Я щелкаю правой кнопкой мыши по файлу, выбираю « Разблокировать» , и это сообщение отображается с параметрами « Разблокировать в любом случае» и « Сохранить меня в безопасности» :

Файл содержит вирус или другое вредоносное ПО, которое может нанести вред вашему компьютеру. Вы можете искать альтернативный источник загрузки или продолжить в любом случае.

Обратите внимание, что диалог не говорит, может ; он говорит, будет вредить вашему компьютеру.

На каком основании показывается это предупреждение?

Никто не знает наверняка, какие провайдеры Chrome и Firefox используют для своего обширного списка ложных срабатываний. Некоторые говорят, что за это отвечает сайт stopbadware.org , но я в этом не уверен.

Пожалуйста, посоветуйте, как приступить к восстановлению того, что осталось от моих сайтов и репутации программного обеспечения, немедленно эффективным способом, пока не стало слишком поздно. Спасибо.

Для тех, кто спрашивает о сайте и программном обеспечении, это: http://www.andreszsogon.com/grf-wizard/

Программное обеспечение мое. Это простой графический интерфейс для инструмента командной строки; Я разработал его с помощью VB6, сжал EXE-файл приложения с помощью компрессора UPX, собрал установщик с помощью Inno Setup, а затем загрузил его через FTP. Я приглашаю вас установить его, протестировать и отсканировать все, что вы хотите.

andreszs
источник
35
Откуда вы знаете, что ваш exe не содержит вирусов? Возможно, на вашем компьютере есть вирус, который заразил используемый вами компилятор, и теперь компилятор вставляет вирусы во все исполняемые файлы, которые вы пытаетесь скомпилировать? В качестве альтернативы, если ваш веб-сайт не использует HTTPS, посредник (например, ваш интернет-провайдер) может вставить вирус в ваш exe-файл.
7
Какой у вас сайт? Вы проверяли EXE-файлы на своем сайте на предмет VirusTotal или других источников? Как вы знаете, Firefox не так?
DW
4
это онлайн ativirus тест-люкс говорят , что ваш исполняемый файл заражен: metascan-online.com/en/scanresult/file/...
Lesto
25
Ваш вопрос очень напыщенный. Это не то место, где можно выразить свои разочарования. Процесс выявления вредоносных программ не является детерминированным; всегда будут ложные срабатывания и отрицания. У вас есть законный вопрос, здесь; это в основном "Как работает идентификация вредоносного ПО и что я могу сделать с ложным срабатыванием?" Мы все были бы признательны, если бы вы могли удалить личный, эмоциональный контент и довести его до хорошего представления реального вопроса.
jpmc26
6
Вы используете WordPress версии 3.8.1 и утверждаете, что ваш сайт безопасен? Я очень рекомендую некоторые обновления ... вы далеко не в безопасности.

Ответы:

76

Перед тем, как слишком увлечься Firefox и безопасным просмотром Google, первым делом выясните, является ли безопасный безопасный просмотр Google правильным. Нередко сайты распространяют исполняемые файлы, содержащие вредоносные программы или вирусы, даже не подозревая, что они это делают. Зачастую Google Safe Browsing прав, и администраторы сайта просто не знали о ситуации - иногда их сайт взламывали, а иногда кто-то загружал файлы, зараженные вирусом, не осознавая этого.

Итак, начните с тщательного изучения вашего сайта, чтобы выяснить, не является ли какая-либо из ваших загрузок проблемной. Вы можете начать с просмотра справки для веб-мастеров с сайта stopbadware.org и справки Google для веб-мастеров по взломанным сайтам . Затем, есть несколько общих шагов, которые вы должны предпринять:

  1. Проверьте, есть ли на вашем сайте вредоносное ПО. Вам необходимо тщательно сканировать свой сайт, чтобы проверить, являются ли какие-либо загрузки файлов опасными или содержат вирусы / вредоносные программы. Вы можете начать с помощью Инструментов Google для веб-мастеров, чтобы проверить, какие плохие файлы обнаружены Google. Вам также следует взглянуть на подробную страницу диагностики в Google Safe Browsing и внимательно посмотреть на конкретные страницы и файлы, перечисленные там. Вы можете просмотреть страницу диагностики здесь, чтобы увидеть, какие страницы вызвали листинг. Я также предлагаю вам загрузить все файлы EXE, которые вы делаете доступными на своем сайте, в VirusTotal и проверить их на наличие вирусов.

  2. Проверьте, нет ли на вашем сайте дыр в безопасности или взломан. Часто случается, что хакеры находят сайт, который имеет некоторые дыры в безопасности, скомпрометируют сайт и модифицируют его, чтобы вставить на сайт вредоносное ПО. Впервые администраторы сайта узнают об этом, когда они будут внесены в список в безопасном браузере Google. Итак, вы должны тщательно проверить, произошло ли это с вами. Вот несколько бесплатных сервисов, которые будут сканировать ваш сайт для вас:

    Если вы обнаружите слабые места в безопасности, отключите ваш сайт и устраните их. Если вы обнаружите, что ваш сайт был взломан, вероятно, вам придется стереть сайт и перезагрузить все из заведомо исправной резервной копии. См. Https://www.stopbadware.org/hacked-sites-resources для получения дополнительных ресурсов.

  3. Защитите свой сайт от взлома. Я предлагаю вам проверить безопасность своего сайта и убедиться, что он хорошо защищен от взлома, чтобы предотвратить взлом и изменение его для обслуживания вредоносных программ. См., Например, https://www.stopbadware.org/prevent-badware-basics для некоторой предыстории. Также убедитесь, что программное обеспечение вашего сайта полностью обновлено.


Когда я использую эти инструменты, вот что я нахожу:

  • Sucuri говорит, что вы используете устаревшую версию WordPress (до 4.2). Похоже, вы работаете в Wordpress 3.8.1; 4.2.2 является текущей версией. Это повышает вероятность того, что ваш сайт уязвим и может быть скомпрометирован: в Wordpress 3.8.1 существует несколько известных уязвимостей. Вы должны всегда запускать новейшие версии программного обеспечения. Если вы не в курсе последних новостей, злоумышленники получают возможность взломать ваш сайт и использовать его для размещения вредоносных программ. Итак, обновите WordPress.

  • Google Safe Browsing говорит, что на вашем сайте было вредоносное ПО, когда Google посетил сайт 2015-05-10: «1 страница (ы) привела к загрузке и установке вредоносного ПО без согласия пользователя». Похоже, что во время последнего посещения, 2015-05-25, не было обнаружено вредоносного ПО, поэтому, похоже, в какой-то момент в прошлом на вашем сайте размещалось вредоносное ПО, но его уже нет.

    Непонятно, что за проблемная страница была. В отчете www.andreszsogon.com/grf-wizard говорится, что не было обнаружено никаких вредоносных страниц /grf-wizard. Таким образом, вы можете сделать вывод, что проблемная страница должна была быть какой-то другой страницей под www.andreszsogon.com- но это не было ничего под /grf-wizard. Я попытался поиграть с онлайн-интерфейсом Безопасного просмотра Google, но не смог определить, какая страница привела к тому, что ваш сайт был включен в их систему.

DW
источник
3
Все тесты запущены, Инструменты для веб-мастеров проверены. Пожалуйста, помните, что я не просто обычный средний пользователь, который не знает, как установить AV или обновить его; Я занимаюсь разработкой программного обеспечения и веб-приложений уже 15 лет. Сайт является безопасным, все программное обеспечение чистое.
Какие подписи / сертификаты возможно использовать самостоятельно? Кроме того, что такое сжатие в игре, некоторые типы сжатия, скорее всего, будут помечены как iffy
78
@ Andrew Честно говоря, если бы у вас был опыт, который, как вы утверждаете, у вас есть, вы бы знали, что сделать заявление типа «Сайт безопасен» абсолютно невозможно. Например: вы работаете в WordPress, за эти годы было множество подвигов нулевого дня против установок WordPress. Кроме того, вы также запускаете рекламу Google Adsense и, похоже, используете по крайней мере один сторонний плагин Wordpress. Все считают, что вы, вероятно, в порядке, но заявить, что вы знаете, что на самом деле это просто знак того, что вы не знаете, о чем говорите. В любом случае, (продолжение)
Дэвид Малдер
21
Безопасный просмотр Google иногда дает действительно странные ложные срабатывания, и, по моему опыту, они также исправляются довольно быстро, так что удачи в этом. Все рассмотренные проекты безопасного просмотра Google спасли меня от неприятностей больше, чем стоили, но время от времени это может вызывать раздражение.
Дэвид Малдер
10
@Andrew UPX - это упаковщик, наиболее часто используемый для упаковки вредоносных программ, поэтому, если вы также упаковываете свои загрузки с помощью UPX, вы будете активировать аварийные сигналы.
Майкл Хэмптон
32

Источник Недавно начал удалять загрузки с утверждением «вирус или шпионское ПО».

«В последние два дня некоторые загрузки начали удалять, сказав, что сообщение « Заблокировано: может содержать вирус или шпионское ПО »в окне загрузки ».

...

Firefox использует данные из проекта Google «Безопасный просмотр» для оценки репутации веб-сайтов и загрузок. Время от времени Google изменяет данные, которые он предоставляет, например, он может отмечать потенциально нежелательные программы в дополнение к реальному вредоносному ПО.

В будущем разработчики рассматривают возможность переопределить блок и получить файл в любом случае. Вероятно, пройдет как минимум несколько месяцев, прежде чем это произойдет, потому что изменения, связанные с безопасностью, требуют времени для разработки

На данный момент, если вы считаете, что эти файловые блоки являются «ложными срабатываниями» и что файлы действительно безопасны, вы можете выполнить одно из следующих действий:

(1) Загрузите файл, используя другой браузер (yikes)

(2) Загрузите файл с помощью надстройки загрузчика, которая обходит эту проверку безопасности. Я слышал об этом в другой ветке, но сам не пробовал (а также я не знаю, каким дополнениям в этом доверять!).

(3) Временно отключите функцию безопасного просмотра, чтобы получить файл, затем включите его снова. В диалоговом окне «Параметры» есть флажок:

Кнопка меню «3 бара» (или меню «Инструменты»)> Функции> Дополнительно

На вкладке «Безопасность» установлен флажок «Блокировать сайты с атаками». Другой флажок относится к фишинговым сайтам, и я не думаю, что это влияет на загрузку.


Источник Как работает встроенная защита от фишинга и вредоносных программ?

Firefox содержит встроенную защиту от фишинга и вредоносных программ, чтобы помочь вам оставаться в безопасности в Интернете. Эти функции будут предупреждать вас о том, что посещенная вами страница была зарегистрирована как веб-фальсификация законного сайта (иногда называемого «фишинговыми» страницами) или как сайт атаки, предназначенный для нанесения вреда вашему компьютеру (иначе называемый вредоносным ПО). Эта функция также предупреждает вас, если вы загружаете файлы, которые обнаружены как вредоносные программы.

...

«Я подтвердил, что мой сайт безопасен, как мне удалить его из списков?»

Если у вас есть сайт, на который была совершена атака, и с тех пор вы его восстановили, или если вы считаете, что ваш сайт был обнаружен по ошибке, вы можете запросить его удаление из списков. Тем не менее, мы призываем владельцев сайтов тщательно изучить любой такой отчет; сайт часто можно превратить в сайт атаки без видимых изменений.

  • Чтобы запросить удаление из списка зарегистрированных фишинговых сайтов, используйте эту форму, предоставленную Google.
  • Чтобы запросить удаление из списка зарегистрированных вредоносных сайтов, используйте этот , предоставленный stopbadware.org.
DavidPostill
источник
1
Спасибо, я попробую эти формы. Обратите внимание, что отключение фильтра или использование другого браузера (?) Не является решением, и я не могу заставить своих пользователей использовать тот или иной браузер, потому что они ошибочно обвиняют мои файлы, которые совершенно чисты. Единственное возможное решение состоит в том, что ложные срабатывания удаляются из базы данных провайдера.
7
@ Андрей, я также рекомендую отправлять файлы в virustotal . Вы, вероятно, обнаружите, что некоторые поставщики обнаруживают ваши программы как вредоносные программы (возможно, общие сигнатуры).
Анхель
19
@ Andrew К сожалению, вы не только отправили напыщенную речь, но и отказались принять ответы на основной вопрос в ней. Сайт в конечном итоге является хранилищем знаний для других пользователей, а не для вашей личной справочной службы.
Я обнаружил, что GWT показывает эту проблему в отдельном разделе, который называется «Проблемы безопасности», а URL-адрес помечен как «Неопределенное вредоносное ПО». Я повторно загрузил установщик без использования UPX для основного EXE-файла и любезно попросил обзор, чтобы исправить эту проблему, спасибо.
2
Эндрю, если установщик проходит проверку на вредоносное ПО с удаленным UPX, не забудьте принять мой ответ.
19

Мне пришлось прекратить использование UPX с моим собственным программным обеспечением, потому что многие антивирусные сканеры считают использование упаковщиков фактическим доказательством неправомерных действий. Вы можете опубликовать распакованную версию своей загрузки и посмотреть, исчезнет ли предупреждение.

Эрик Ноулз
источник
1
ответ? это должно быть размещено в комментариях.
2
Фактически, Avast обнаруживает UPX.exe как «угрозу». Но файлы, сжатые с ним, считаются «чистыми». Я загрузил новый установщик с несжатым EXE сейчас, на всякий случай.
15
Франциско: Почему я должен был оставить это как комментарий? Он был явно задуман как ответ на вопрос ОП.
6
@FranciscoTapia Это определенно ответ, и, вероятно, правильный.
Брэд
1
Хороший вопрос здесь, хотя и совершенно не по теме, зачем использовать UPX или любой другой упаковщик EXE сегодня, в 2015 году, с сегодняшними скоростями загрузки? Я с трудом могу поверить, что упаковка EXE-файлов для уменьшения их размера (если нет больше аргументов для этого) может принести пользу кому-либо, особенно принимая во внимание все проблемы (выраженные здесь во многих пунктах), которые могут иметь при этом.
Трейдер
12

Я сделал просмотр источника на странице, на которую вы ссылались, и это поднимает вопрос: это вы добавили следующий тег сценария на ваш сайт? Или кому-то удалось проникнуть в ваш WordPress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Поскольку я довольно сильно подозреваю, что включение чего-либо из superfish заблокирует вас в базе данных безопасного поиска Google. Само собой разумеется, что суперфиш имеет очень плохую репутацию. В конце концов, посмотрите на то, что произошло с Lenovo за то, что она включила программное обеспечение Superfish в свои ноутбуки к концу прошлого года. Они получили ОГРОМНЫЙ пиар-хит.

Кроме того, поскольку программное обеспечение AV очень часто не может / не найдет много файлов, содержащих вредоносный php, если вообще их вообще не будет. Я настоятельно рекомендую вручную (хорошо с Windows find или * nix grep, в зависимости от того, на какой платформе работает ваш сайт) искать во всей вашей установке WordPress файлы, которые не принадлежат, и ОСОБЕННО любые файлы, содержащие код php, который есть eval () и / или base64_decode () в них, особенно вложенные! Если вы обнаружите что-то, что явно не является частью системы и ожидается, то вам следует немедленно начать новую установку WordPress и переместить в нее каталог wp-content, при условии, что там тоже нет плохих файлов. В этом случае лучше всего начинать сайт с нуля. К счастью, с сайтом WordPress это довольно просто.

mce128
источник
15
Это может быть просто плагин Superfish jQuery , который, по всей видимости, назван так.
IMSoP
2
Стоит отметить, конечно, что это может быть так же просто, как плагин Superfish jQuery генерирует ложный положительный результат из-за сходства имени с другим Superfish. Если людям трудно их различить, не удивительно, что компьютер также может испытывать трудности.
августа
Спасибо за предложение, как говорили другие пользователи, этот скрипт является простой JS-оболочкой в ​​теме Contango. Кроме того, если бы проблема была при установке WordPress, наверняка все файлы были бы заблокированы, а не только один или два.
2
@ Андрей Да, безусловно, если это на самом деле является частью шаблона / темы, то это не проблема, как это было бы тогда для всего сайта. Я полагаю, что, возможно, мне следовало разобраться с сайтом и посмотреть, было ли это на всех страницах. Часто, по моему опыту, когда эти системы подвергаются риску, часто странные вещи внедряются в отдельные страницы. Очевидно, я прыгнул там пистолет. Главным образом, поскольку я не знал о плагине jQuery, который разделяет имя с этим коварным программным обеспечением. Я задавался вопросом, возможно ли это был установщик румяна или что-то, если вы не были тем, кто добавил это.
1
Хотя я все же настоятельно рекомендую проверить, что я описал в моем последнем абзаце. К сожалению, я вижу такие вещи очень часто, когда мне звонят клиенты, у которых есть WordPress сайты, которые были взломаны. Это довольно распространенный шаблон в файлах сайта. На самом деле, большую часть времени я даже не найду ни одного системного файла, который был изменен, или только небольшую горстку, где угодно, от нескольких посторонних неприятных файлов, лежащих буквально до тысяч! Имена файлов в этих случаях обычно либо пытаются казаться частью системы, либо они генерируют бессмысленные имена.
8

... сжал EXE приложения с помощью компрессора UPX ...

~ 10 лет назад вирусы обычно использовали UPX, чтобы их было труднее обнаружить и перепроектировать. Фактически, это стало настолько распространенным, что многие антивирусы теперь считают любую упакованную UPX программу по умолчанию угрозой. Это почти наверняка ваша проблема.

У вас действительно есть только два варианта:

  • Используйте VirusTotal, чтобы определить, какие сайты считают ваше программное обеспечение вредоносным ПО, и представить свою программу этим компаниям как ложно-положительную.
  • Используйте другой метод для сжатия вашего программного обеспечения. Хорошей альтернативой являются самораспаковывающиеся исполняемые файлы , которые должны еще лучше справляться со сжатием вашего программного обеспечения, без подозрительной маскировки.
BlueRaja - Дэнни Пфлугхофт
источник
1
Спасибо, это очень полезно. На самом деле мой AV обнаружил компрессор UPX как своего рода «угрозу», что очень раздражает. Я от этого избавлюсь от всех последующих версий.
andreszs
4

У меня 20-летний веб-сайт для энтузиастов программного обеспечения, и я также сталкиваюсь с вашими проблемами. Это сайт, который имел расцвет около 2000 года и теперь функционирует как архив. Примерно 3 раза в год Google Safe Browsing выявляет новую часть «вредоносного ПО», обычно написанного и загруженного в период с 1999 по 2002 год. Не берите в голову, что никто не касался этого больше десятилетия. Сканирование этого файла с помощью virustotal неизбежно показывает, что вирус существует, но его никогда не используют популярные вирусные программы, такие как Symantec или другие, всегда те, о которых вы даже не слышали - однажды один из его антивирусных сканеров даже показал, что существует вирус в 530-байтовом текстовом файле.

Так в чем же решение? Учитывая, что Google Safe Browsing является судьей, жюри и палачом, у вас есть 3 варианта:

  1. Удалите файл и сделайте что-нибудь еще со своей жизнью (рекомендуется для здравомыслия)

  2. Радикально изменить содержимое файла (обычно, если после изменений virustotal не подхватывает его, все готово)

  3. Поместите файл загрузки за логином

Лично я бы не заботился об этом, мне просто грустно, когда мне нужно удалить часть программного обеспечения, которую больше нигде не найти.

Потрошитель
источник