Blog. Just Blog

Обход эвристики Avira AntiVir в JavaScript

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Web-мастеру и не только | Автор: ManHunter
Последние несколько дней посетители сайта стали жаловаться, что их антивирус эвристически определяет в HTML-коде страниц сайта вредоносный код. Их объединяло одно: они все пользовались "антивирусом" (в кавычках) под гордым названием Avira AntiVir. После недолгого расследования и тестирования было выяснено, что эта недоделка ругается на скрипт добавления страницы в закладки, а конкретно на его часть, отвечающую за работу в Internet Explorer:
  1. // Internet Explorer
  2. window.external.AddFavorite(urltitle);
Не знаю что надо курить, чтобы додуматься распознавать это действие как опасное, однако факт остается фактом: абсолютно безопасный код распознается этим "антивирусом" как вредоносный. Эвристика ругается на добавление страницы в закладки официально документированными средствами! Отличный пример как НЕ надо писать программы. Чтобы заткнуть Avira достаточно в скрипте чуть-чуть изменить сигнатуру "AddFavorite", а при выполнении привести ее в первоначальный вид:
  1. // Internet Explorer
  2. eval("window.external.AddFa-vorite(url, title)".replace(/-/g,''));
Приношу извинения пользователям за доставленные неудобства. А тупым дрочерам из младших классов, которые писали этот "антивирус", могу только порекомендовать поменьше лазать по порносайтам, тогда и в закладки ничего ставиться не будет. Ну и напоследок: реально вредоносный код на HTML-страницах можно спрятать от Avira AntiVir точно таким же примитивнейшим способом. Выводы о надежности этой поделки, думаю, сделаете сами.

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 8346 | Комментариев: 16

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Гость (25.02.2013 в 02:48):
А идите ка вы лесом, кто ругает Авиру за ложные срабатывания. Это ваши личные проблемы. Антивирь ПРОПУСКАТЬ НАСТОЯЩИЕ не должен, а ложные - его право. Тоже блин левые технологии юзают.
Он не для аудитории поставил-забыл и это здорово. За 6 лет - один пропущенный вирус (и то его защита система заблокировала раньше Avirы).
Влад (19.01.2012 в 22:32):
А я пользуюсь Нод Интернет Секьюрити 5 версии и файерволом Комодо :-))
У меня все хорошо :-))
morgot (31.07.2011 в 13:36):
Сейчас, как я вижу, вообще немало аверов-параноиков. Например,банальный хелловорлд на Асме, детектится как троян (!) несколькими аверами. Что будет дальше, черт его знает. Наверное, аверы будут разрешать только запуск программ из "белого списка", а все другое автоматом будет недоверенными файлами.
Pavel (10.02.2011 в 18:38):
+1
Плоскирiв (15.01.2011 в 01:58):
Поддерживаю автора статьи. Ибо у самого руки чешутся выложить несколько статей об этом "гомнософте" и "гомновозах" его создавших. Почему такое мнение? Ответ:
Написал для личных нужд клиент для IRC-сетей. О вредоносном коде и речи не может быть. Поделился своим творением с приятелем, который пользовался антивирусом Avira AntiVir. И этот "гомнософт" отругался на программу. И что Вы думаете, в награду получил "вирусописателя" и натянутые отношения.
  Хорошо , что есть "мозговитые" и на глаз догадываются о безопаснотси программы. А как быть с иными. Водитель автомобиля вовсе не обязан быть слесарем - это две разные профессии. Точно так же , не все пользователи компьютером имеют статус "супермозга".
Исходя из ситуации, компания AviraAntiVir, вводит в заблуждение обыденных пользователей.
Отсюда вытекает, что данный  "гомнософт" не может определить: действительно ли файл или программа является зараженным или нет.   

Спасибо за внимание.
ManHunter (28.11.2009 в 19:29):
Raven, "не пропускать вирус" и "орать на все подряд" - это несколько разные вещи. А о надежности этой поделки я написал.
Raven (28.11.2009 в 19:13):
Хотелось бы сказать пару недоброжелательных слов в адресс автора статьи. Авира один из лучших антивиров и я не разу не пропустил с ним вируса за 5 лет, что им пользовался. токо недавно система чутьн е слетела из-за того, что я проигнорировал предупреждение авиры. да , бывает норм файлы за вирусы считает, однако если включить мозг можно догадаться.
ГГ (15.04.2009 в 22:39):
По поводу слов в защиту авиры...
файл: ctfmon.exe это языковая раскладка. И Я зае...от того что авира считает это вирусом.
REL (14.03.2009 в 19:42):
ManHunter
И какой антивирус посоветуете?
gosha (22.02.2009 в 11:14):
Сегодня принял почту от товарища, машинально открыл, и выматерился - в сознании осталось: значок с "майла" был красным!
Надежды на авось не оправдались: Avira указала на ctfmon.exe.
(про ctfmon.exe
http://support.microsoft.com/?...599&x=18&y=8 )
Естественно файл ничем не удалялся. Даже Avira не смогла :) 
DrWeb (с другой системы) ничего не видел.
Яркие представители говнософта (с этого года ругающиеся на варез) a-squared Free и SUPERAntiSpyware
отмалчивались на эту тему. Удалил файл Unlocker_ом.
Особо не разбирался и просто скопировал ctfmon.exe, весом 30кб с другой системы. Мой, удалённый, = 37 кб.
Офиса у меня нету. А на почту от товарища давно жалуется Мегафоновская спаморезка....
Я к тому, что несколько слов в защиту Авиры....
ManHunter (15.01.2009 в 12:38):
А что, любой, кто не восторгается взахлеб вашим говнософтом, автоматически приравнивается к ламеру? Очень показательно.
Виктор Кисиль (15.01.2009 в 12:35):
Какой "продвинутый" ламер написал эту статью?
LOST KIND (13.01.2009 в 14:48):
а нет, сорь ми, вот вижу вкладываешь интересно-нужненькое :)
ManHunter (08.01.2009 в 21:45):
gosha, лучше посмотри на 4-ку. Про 5-ку пока не очень хорошо отзываются
gosha (08.01.2009 в 21:28):
Плохо-то как! :)
Я понял только про "дрочеров" и "порносайты", но как-то внимательно стал посматривать на новую DrWeb-cre. "пятёрку".
Nutscracker (07.01.2009 в 22:53):
«Не знаю что надо курить, чтобы додуматься распознавать это действие как опасное, однако факт остается фактом: абсолютно безопасный код распознается этим "антивирусом" как вредоносный.»

Увы, не они одни что-то курят.
Еще вот такой пример есть (злостный троянозапускатель, ага):

test_0.bat - 9/38 (23.69%)
http://www.virustotal.com/ru/a...b9f25d8b42a1

@echo off
start 1.exe
start 2.exe


test_1.bat - 0/38 (0%)
http://www.virustotal.com/ru/a...bed71b125f5c

@echo off
set foo=.exe
start 1%foo%
start 2%foo%

При этом оба bat-файла делают одно и то же. =)


На сжатые UPX файлы ( http://ru.wikipedia.org/wiki/UPX ), опять же, ругаются – как минимум три вирустоталовских антивируса, насколько я помню.

P.S. Я бы попробовал что-нибудь вроде
window.external["Add" + "Favorite"](url, title);

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2018
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0025 сек.) / Память: 4.75 Mb
Наверх