Обход эвристики Avira AntiVir в JavaScript
Последние несколько дней посетители сайта стали жаловаться, что их антивирус эвристически определяет в HTML-коде страниц сайта вредоносный код. Их объединяло одно: они все пользовались "антивирусом" (в кавычках) под гордым названием Avira AntiVir. После недолгого расследования и тестирования было выяснено, что эта недоделка ругается на скрипт добавления страницы в закладки, а конкретно на его часть, отвечающую за работу в Internet Explorer:Code (JavaScript) : Убрать нумерацию
- // Internet Explorer
- window.external.AddFavorite(url, title);
Code (JavaScript) : Убрать нумерацию
- // Internet Explorer
- eval("window.external.AddFa-vorite(url, title)".replace(/-/g,''));
Просмотров: 9710 | Комментариев: 16
Метки: JavaScript, безопасность
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
Влад
(19.01.2012 в 22:32):
А я пользуюсь Нод Интернет Секьюрити 5 версии и файерволом Комодо :-))
У меня все хорошо :-))
У меня все хорошо :-))
morgot
(31.07.2011 в 13:36):
Сейчас, как я вижу, вообще немало аверов-параноиков. Например,банальный хелловорлд на Асме, детектится как троян (!) несколькими аверами. Что будет дальше, черт его знает. Наверное, аверы будут разрешать только запуск программ из "белого списка", а все другое автоматом будет недоверенными файлами.
Pavel
(10.02.2011 в 18:38):
+1
Плоскирiв
(15.01.2011 в 01:58):
Поддерживаю автора статьи. Ибо у самого руки чешутся выложить несколько статей об этом "гомнософте" и "гомновозах" его создавших. Почему такое мнение? Ответ:
Написал для личных нужд клиент для IRC-сетей. О вредоносном коде и речи не может быть. Поделился своим творением с приятелем, который пользовался антивирусом Avira AntiVir. И этот "гомнософт" отругался на программу. И что Вы думаете, в награду получил "вирусописателя" и натянутые отношения.
Хорошо , что есть "мозговитые" и на глаз догадываются о безопаснотси программы. А как быть с иными. Водитель автомобиля вовсе не обязан быть слесарем - это две разные профессии. Точно так же , не все пользователи компьютером имеют статус "супермозга".
Исходя из ситуации, компания AviraAntiVir, вводит в заблуждение обыденных пользователей.
Отсюда вытекает, что данный "гомнософт" не может определить: действительно ли файл или программа является зараженным или нет.
Спасибо за внимание.
Написал для личных нужд клиент для IRC-сетей. О вредоносном коде и речи не может быть. Поделился своим творением с приятелем, который пользовался антивирусом Avira AntiVir. И этот "гомнософт" отругался на программу. И что Вы думаете, в награду получил "вирусописателя" и натянутые отношения.
Хорошо , что есть "мозговитые" и на глаз догадываются о безопаснотси программы. А как быть с иными. Водитель автомобиля вовсе не обязан быть слесарем - это две разные профессии. Точно так же , не все пользователи компьютером имеют статус "супермозга".
Исходя из ситуации, компания AviraAntiVir, вводит в заблуждение обыденных пользователей.
Отсюда вытекает, что данный "гомнософт" не может определить: действительно ли файл или программа является зараженным или нет.
Спасибо за внимание.
ManHunter
(28.11.2009 в 19:29):
Raven, "не пропускать вирус" и "орать на все подряд" - это несколько разные вещи. А о надежности этой поделки я написал.
Raven
(28.11.2009 в 19:13):
Хотелось бы сказать пару недоброжелательных слов в адресс автора статьи. Авира один из лучших антивиров и я не разу не пропустил с ним вируса за 5 лет, что им пользовался. токо недавно система чутьн е слетела из-за того, что я проигнорировал предупреждение авиры. да , бывает норм файлы за вирусы считает, однако если включить мозг можно догадаться.
ГГ
(15.04.2009 в 22:39):
По поводу слов в защиту авиры...
файл: ctfmon.exe это языковая раскладка. И Я зае...от того что авира считает это вирусом.
файл: ctfmon.exe это языковая раскладка. И Я зае...от того что авира считает это вирусом.
REL
(14.03.2009 в 19:42):
ManHunter
И какой антивирус посоветуете?
И какой антивирус посоветуете?
gosha
(22.02.2009 в 11:14):
Сегодня принял почту от товарища, машинально открыл, и выматерился - в сознании осталось: значок с "майла" был красным!
Надежды на авось не оправдались: Avira указала на ctfmon.exe.
(про ctfmon.exe
http://support.microsoft.com/?...599&x=18&y=8 )
Естественно файл ничем не удалялся. Даже Avira не смогла :)
DrWeb (с другой системы) ничего не видел.
Яркие представители говнософта (с этого года ругающиеся на варез) a-squared Free и SUPERAntiSpyware
отмалчивались на эту тему. Удалил файл Unlocker_ом.
Особо не разбирался и просто скопировал ctfmon.exe, весом 30кб с другой системы. Мой, удалённый, = 37 кб.
Офиса у меня нету. А на почту от товарища давно жалуется Мегафоновская спаморезка....
Я к тому, что несколько слов в защиту Авиры....
Надежды на авось не оправдались: Avira указала на ctfmon.exe.
(про ctfmon.exe
http://support.microsoft.com/?...599&x=18&y=8 )
Естественно файл ничем не удалялся. Даже Avira не смогла :)
DrWeb (с другой системы) ничего не видел.
Яркие представители говнософта (с этого года ругающиеся на варез) a-squared Free и SUPERAntiSpyware
отмалчивались на эту тему. Удалил файл Unlocker_ом.
Особо не разбирался и просто скопировал ctfmon.exe, весом 30кб с другой системы. Мой, удалённый, = 37 кб.
Офиса у меня нету. А на почту от товарища давно жалуется Мегафоновская спаморезка....
Я к тому, что несколько слов в защиту Авиры....
ManHunter
(15.01.2009 в 12:38):
А что, любой, кто не восторгается взахлеб вашим говнософтом, автоматически приравнивается к ламеру? Очень показательно.
Виктор Кисиль
(15.01.2009 в 12:35):
Какой "продвинутый" ламер написал эту статью?
LOST KIND
(13.01.2009 в 14:48):
а нет, сорь ми, вот вижу вкладываешь интересно-нужненькое :)
ManHunter
(08.01.2009 в 21:45):
gosha, лучше посмотри на 4-ку. Про 5-ку пока не очень хорошо отзываются
gosha
(08.01.2009 в 21:28):
Плохо-то как! :)
Я понял только про "дрочеров" и "порносайты", но как-то внимательно стал посматривать на новую DrWeb-cre. "пятёрку".
Я понял только про "дрочеров" и "порносайты", но как-то внимательно стал посматривать на новую DrWeb-cre. "пятёрку".
Nutscracker
(07.01.2009 в 22:53):
«Не знаю что надо курить, чтобы додуматься распознавать это действие как опасное, однако факт остается фактом: абсолютно безопасный код распознается этим "антивирусом" как вредоносный.»
Увы, не они одни что-то курят.
Еще вот такой пример есть (злостный троянозапускатель, ага):
test_0.bat - 9/38 (23.69%)
http://www.virustotal.com/ru/a...b9f25d8b42a1
@echo off
start 1.exe
start 2.exe
test_1.bat - 0/38 (0%)
http://www.virustotal.com/ru/a...bed71b125f5c
@echo off
set foo=.exe
start 1%foo%
start 2%foo%
При этом оба bat-файла делают одно и то же. =)
На сжатые UPX файлы ( http://ru.wikipedia.org/wiki/UPX ), опять же, ругаются – как минимум три вирустоталовских антивируса, насколько я помню.
P.S. Я бы попробовал что-нибудь вроде
window.external["Add" + "Favorite"](url, title);
Увы, не они одни что-то курят.
Еще вот такой пример есть (злостный троянозапускатель, ага):
test_0.bat - 9/38 (23.69%)
http://www.virustotal.com/ru/a...b9f25d8b42a1
@echo off
start 1.exe
start 2.exe
test_1.bat - 0/38 (0%)
http://www.virustotal.com/ru/a...bed71b125f5c
@echo off
set foo=.exe
start 1%foo%
start 2%foo%
При этом оба bat-файла делают одно и то же. =)
На сжатые UPX файлы ( http://ru.wikipedia.org/wiki/UPX ), опять же, ругаются – как минимум три вирустоталовских антивируса, насколько я помню.
P.S. Я бы попробовал что-нибудь вроде
window.external["Add" + "Favorite"](url, title);
Добавить комментарий
Заполните форму для добавления комментария
Он не для аудитории поставил-забыл и это здорово. За 6 лет - один пропущенный вирус (и то его защита система заблокировала раньше Avirы).