Firefox m'accusant de distribution de malware sur mon site

45

J'ai remarqué que Firefox avait décidé de bloquer certains installateurs EXE de mon site, affichant une étiquette Bloqué: Peut contenir des virus ou des logiciels espions . Je clique avec le bouton droit sur le fichier, sélectionnez Débloquer et ce message s’affiche avec les options Débloquer quand même et Protège-moi :

Le fichier contient un virus ou un autre logiciel malveillant susceptible de nuire à votre ordinateur. Vous pouvez rechercher une autre source de téléchargement ou continuer malgré tout.

Notez que le dialogue ne dit pas may ; il dit va nuire à votre ordinateur.

Sur quelle base cet avertissement est-il affiché?

Personne ne sait avec certitude quel fournisseur Chrome et Firefox utilisent pour leur vaste liste de faux positifs. Certains disent que le site stopbadware.org est responsable, mais je n'en suis pas si sûr.

Veuillez nous indiquer comment procéder pour restaurer ce qui reste de mes sites et de la réputation de vos logiciels de manière immédiatement efficace, avant qu'il ne soit trop tard. Merci.

Pour ceux qui s’interrogent sur le site et les logiciels, c’est celui-ci: http://www.andreszsogon.com/grf-wizard/

Le logiciel est à moi. C'est une interface graphique simple pour un outil de ligne de commande; Je l'ai développé avec VB6, compressé le fichier EXE de l'application avec le compresseur UPX, construit l'installateur avec Inno Setup, puis téléchargé via FTP. Je vous invite à l'installer, à le tester et à le numériser à votre guise.

google-chrome firefox malware Andreszs
la source
35
Comment savez-vous que votre exe ne contient pas de virus? Peut-être que votre ordinateur a un virus qui a infecté le compilateur que vous utilisez et que le compilateur insère des virus dans tous les ex que vous essayez de compiler? Sinon, si votre site Web n'utilise pas HTTPS, un homme au milieu (par exemple, votre fournisseur d'accès à Internet) peut être en train d'insérer un virus dans votre exe.
7
Quel est votre site? Avez-vous vérifié les fichiers EXE de votre site contre VirusTotal ou d'autres sources? Comment savez-vous que Firefox a tort?
DW
4
cette suite ativirus-test-suite en ligne indique que votre exécutable est infecté: metascan-online.com/fr/scanresult/file/…
Lesto
25
Votre question est vraiment un coup de gueule. Ce n'est pas l'endroit approprié pour évacuer vos frustrations. Le processus d'identification des logiciels malveillants n'est pas déterministe. il y aura toujours des faux positifs et des négatifs. Vous avez cependant une question légitime; il s'agit essentiellement de: "Comment fonctionne l'identification des logiciels malveillants et que puis-je faire à propos d'un faux positif?" Nous apprécierions tous si vous pouviez supprimer le contenu personnel et émotionnel et en faire une bonne présentation de la vraie question.
jpmc26
6
Vous utilisez WordPress version 3.8.1 et vous prétendez que votre site est sécurisé? Je suggère fortement certaines mises à jour ... vous êtes loin d'être sécurisé.

Réponses:

76

Avant d’être trop pris dans votre colère contre Firefox et Google Safe Browsing, vous devez d’abord déterminer si Google Safe Browsing est correct. Il n'est pas rare que des sites distribuent des fichiers exécutables contenant des logiciels malveillants ou des virus, sans se rendre compte qu'ils le font. Souvent, Google Safe Browsing a raison et les responsables du site n'étaient tout simplement pas au courant de la situation. Parfois, leur site était piraté, ou parfois quelqu'un téléchargeait des fichiers infectés par un virus sans s'en rendre compte.

Commencez donc par examiner de près votre site pour savoir si certains de vos téléchargements sont potentiellement problématiques. Vous pouvez commencer par parcourir l’ aide Webmaster de stopbadware.org et l’aide Webmasters de Google pour les sites piratés . Ensuite, il y a quelques étapes générales que vous devriez suivre:

  1. Vérifiez s'il y a des logiciels malveillants sur votre site. Vous devez analyser votre site avec soin pour vérifier si les téléchargements de fichiers sont dangereux ou contiennent des virus / programmes malveillants. Vous pouvez commencer par utiliser Google Webmaster Tools pour vérifier quels sont les mauvais fichiers détectés par Google. Vous devez également consulter la page de diagnostic détaillée de Google Safe Browsing et examiner de près les pages et les fichiers répertoriés dans cette liste. Vous pouvez afficher la page de diagnostic ici pour voir quelles pages ont spécifiquement déclenché la liste. Je vous suggère également de télécharger chacun des fichiers EXE que vous mettez à disposition sur votre site pour VirusTotal et de les rechercher pour détecter la présence de virus.

  2. Vérifiez si votre site a des failles de sécurité ou a été piraté. Souvent, les pirates informatiques découvrent un site qui présente des failles de sécurité, le compromettent et le modifient pour insérer des programmes malveillants sur le site. Les administrateurs du site apprennent cela en premier lieu lorsqu’ils sont répertoriés dans Google Safe Browsing. Donc, vous devriez vérifier attentivement si cela vous est arrivé. Voici quelques services gratuits qui analyseront votre site Web pour vous:

    Si vous rencontrez des problèmes de sécurité, déconnectez votre site de votre site Web et corrigez-le. Si vous constatez que votre site a été compromis, il est probable que vous deviez effacer le site et tout recharger à partir d'une sauvegarde en bon état. Voir https://www.stopbadware.org/hacked-sites-resources pour plus de ressources.

  3. Protégez votre site contre le piratage. Je vous suggère de vérifier la sécurité de votre site et de vous assurer qu'il est bien protégé contre le piratage afin d'empêcher toute intrusion et de le modifier afin de traiter des logiciels malveillants. Voir, par exemple, https://www.stopbadware.org/prevent-badware-basics pour un aperçu. Assurez-vous également que le logiciel de votre site est entièrement mis à jour.

Lorsque j'utilise ces outils, voici ce que je trouve:

  • Sucuri dit que vous utilisez une version obsolète de WordPress (antérieure à 4.2). On dirait que vous utilisez Wordpress 3.8.1; 4.2.2 est la version actuelle. Cela rend probablement votre site vulnérable et peut être compromis: il existe plusieurs vulnérabilités connues dans Wordpress 3.8.1. Assurez-vous de toujours utiliser des versions à jour du logiciel. Lorsque vous ne parvenez pas à vous tenir à jour, les pirates informatiques ont ainsi la possibilité de compromettre votre site et de l'utiliser pour héberger des logiciels malveillants. Alors, mettez à jour WordPress.

  • Google Safe Browsing indique que votre site hébergeait des logiciels malveillants lors de sa visite par Google le 10/05/2015: "1 page (s) a abouti au téléchargement et à l'installation de logiciels malveillants sans le consentement de l'utilisateur". Apparemment, aucun logiciel malveillant n'a été trouvé lors de la dernière visite, le 25/05/2015, il semble donc que, par le passé, votre site hébergeait des logiciels malveillants, mais ce n'est plus le cas.

    Ce n'est pas clair quelle était la page problématique. Le rapport pour www.andreszsogon.com/grf-wizard indique qu'aucune page malveillante n'a été trouvée sous /grf-wizard. Donc, vous pouvez en déduire que la page problématique doit avoir été une autre page en dessous www.andreszsogon.com- mais ce n'était rien en dessous /grf-wizard. J'ai essayé de jouer avec l'interface en ligne de Google Navigation sécurisée, mais je n'ai pas été en mesure de déterminer la page qui a provoqué l'inclusion de votre site dans leur système.

DW
la source
3
Tous les tests sont exécutés, les outils pour les webmasters sont vérifiés. S'il vous plaît rappelez-vous que je ne suis pas simplement l'utilisateur moyen ordinaire qui ne sait pas comment installer ou modifier un AV. Je développe des logiciels et des applications Web depuis 15 ans maintenant. Le site est sécurisé, tous les logiciels sont CLEAN.
Quel type de signatures / certs utilisés auto-signé éventuellement? De plus, quel type de compression est en jeu, certains types de compression sont plus susceptibles d'être signalés comme
78
@ Andrew honnêtement, si vous aviez l'expérience que vous prétendez avoir, vous sauriez qu'une déclaration comme "Le site est sécurisé" est totalement impossible à faire. Par exemple: vous utilisez WordPress, au cours des années, il y a eu d'innombrables exploits du jour zéro contre des installations WordPress. De plus, vous diffusez également des annonces Google Adsense et semble utiliser au moins un plugin Wordpress tiers. Vous pensez probablement que tout va bien pour vous tous, mais déclarer que vous le savez est un signe que vous ne savez pas de quoi vous parlez. Quoi qu'il en soit, (suite)
David Mulder
21
La navigation dans Google Safe génère parfois de faux faux positifs très étranges. Dans mon expérience, ils sont également corrigés assez rapidement. Bonne chance. Tous ont considéré que le projet de navigation de Google Safe m'avait évité plus de problèmes qu'il n'en avait coûté, mais il peut être assez irritant de temps en temps.
David Mulder
10
@ Andrew UPX est l’éditeur de logiciels malveillants le plus couramment utilisé. Par conséquent, si vous transférez également vos téléchargements avec UPX, vous déclencherez des alarmes.
Michael Hampton
32

Source Récemment commencé à supprimer les téléchargements déclarant un "virus ou un logiciel espion".

"Les deux derniers jours, une partie du téléchargement a commencé à être supprimée en indiquant que le message d'erreur 'Bloqué: peut contenir des virus ou des logiciels espions', dans la fenêtre de téléchargement. "

...

Firefox utilise les données du projet "Navigation sécurisée" de Google pour évaluer la réputation des sites Web et des téléchargements. De temps en temps, Google modifie les données qu'il fournit. Par exemple, il peut signaler des programmes potentiellement indésirables en plus des logiciels malveillants.

Pour l'avenir, les développeurs envisagent une option pour remplacer le bloc et obtenir le fichier de toute façon. Cela prendra probablement au moins quelques mois avant que les modifications sensibles à la sécurité prennent du temps à concevoir.

Pour l'instant, si vous pensez que ces blocs de fichiers sont des "faux positifs" et que les fichiers sont réellement sûrs, vous pouvez procéder de l'une des manières suivantes:

(1) Téléchargez le fichier en utilisant un autre navigateur (yikes)

(2) Téléchargez le fichier à l'aide d'un module complémentaire de téléchargement qui contourne cette vérification de sécurité. J'en ai entendu parler dans un autre fil de discussion, mais je ne l'ai pas essayé moi-même (et je ne sais pas non plus à quels compléments faire confiance!).

(3) Désactivez temporairement la fonction de navigation sécurisée pour récupérer le fichier, puis réactivez-le. Il y a une case à cocher dans la boîte de dialogue Options:

Bouton de menu "3 barres" (ou menu Outils)> Options> Avancé

Dans l'onglet Sécurité, cochez la case "Bloquer les sites d'attaque signalés". L'autre case à cocher concerne les sites de phishing et je ne pense pas que cela affecte les téléchargements.

Source Comment la protection intégrée contre le phishing et les logiciels malveillants fonctionne-t-elle?

Firefox contient une protection intégrée contre le phishing et les logiciels malveillants pour vous aider à rester en sécurité en ligne. Ces fonctionnalités vous avertiront lorsqu'une page visitée a été signalée comme une falsification Web d'un site légitime (parfois appelé «pages de phishing») ou comme un site d'attaque conçu pour endommager votre ordinateur (également appelé programme malveillant). Cette fonctionnalité vous avertit également si vous téléchargez des fichiers détectés comme des programmes malveillants.

...

"J'ai confirmé que mon site est sûr, comment puis-je le supprimer des listes?"

Si vous possédez un site qui a été attaqué et que vous l'avez réparé depuis, ou si vous pensez que votre site a été signalé par erreur, vous pouvez demander qu'il soit supprimé des listes. Nous encourageons toutefois les propriétaires de sites à mener une enquête approfondie sur ces informations. un site peut souvent être transformé en site d'attaque sans aucune modification visible.

  • Pour demander le retrait de la liste des sites de phishing signalés, utilisez ce formulaire fourni par Google.
  • Pour demander le retrait de la liste des sites de logiciels malveillants rapportés, utilisez celui-ci , fourni par stopbadware.org.
DavidPostill
la source
1
Merci, je vais essayer ces formulaires. Veuillez noter que la désactivation du filtre ou l'utilisation d'un autre navigateur (?) N'est pas une solution et je ne peux pas forcer mes utilisateurs à utiliser tel ou tel navigateur, car ils accusent à tort mes fichiers parfaitement propres. La seule solution possible est que les faux positifs soient supprimés de la base de données du fournisseur.
7
@ Andrew, je vous recommande également d'envoyer les fichiers à virustotal . Vous découvrirez probablement que certains fournisseurs détectent vos programmes comme des logiciels malveillants (signatures génériques, probablement).
Angel
19
@ Andrew Il est regrettable que vous ayez non seulement soumis un discours, mais que vous refusiez également d'accepter des réponses à la question centrale. Le site est finalement un référentiel de connaissances pour les autres utilisateurs, pas votre service d'assistance personnel.
J'ai constaté que GWT exposait ce problème dans une section distincte intitulée "Problèmes de sécurité" et que l'URL était intitulée "Programme malveillant" (Indéterminé). J'ai re-téléchargé le programme d'installation sans utiliser UPX pour le fichier EXE principal et j'ai gentiment demandé à ce que le problème soit corrigé, merci.
2
Andrew, si le programme d'installation réussit le test du logiciel malveillant avec UPX enlevé, n'oubliez pas d'accepter ma réponse.
19

J'ai dû cesser d'utiliser UPX avec mon propre logiciel car de nombreux antivirus considèrent que l'utilisation de Packer est une preuve de facto d'actes répréhensibles. Vous pouvez essayer de publier une version décompressée de votre téléchargement et voir si l'avertissement disparaît.

Erik Knowles
la source
1
est une réponse? cela devrait être posté dans les commentaires.
2
En fait, Avast détecte UPX.exe comme une "menace". Mais les fichiers compressés avec, sont considérés comme "propres". J'ai téléchargé un nouveau programme d'installation avec le fichier EXE non compressé maintenant, juste au cas où.
15
Francisco: Pourquoi aurais-je posté cela comme un commentaire? C'était clairement destiné à répondre à la question du PO.
6
@FranciscoTapia C'est certainement une réponse, et probablement la bonne.
Brad
1
La bonne question ici, bien que complètement hors sujet, est de savoir pourquoi utiliser UPX ou tout autre programme de compression EXE aujourd'hui, en 2015, avec les vitesses de téléchargement actuelles. J'ai du mal à croire que le fait de compresser des fichiers EXE pour en réduire la taille (s'il n'y a plus d'argument en faveur de le faire) pourrait profiter à quiconque, surtout si l'on prend en compte tous les problèmes (exprimés ici en plusieurs points) que l'on pourrait avoir en le faisant.
Trejder
12

J'ai fait une source de vue sur la page que vous avez liée, et bien, cela soulève une question: est-ce que c'est vous qui avez ajouté la balise script suivante à votre site? Ou quelqu'un a-t-il réussi à insérer cela dans votre wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Comme je soupçonne fortement qu'inclure quelque chose dans superfish vous ferait bloquer par la base de données Google Search Safe Search. Il va presque sans dire que superfish a une très mauvaise réputation. Après tout, voyez ce qui est arrivé à Lenovo pour avoir intégré le logiciel Superfish à ses ordinateurs portables vers la fin de l'année dernière. Ils ont pris un coup énorme PR.

En outre, comme les logiciels audiovisuels ne peuvent très souvent pas trouver / trouveront beaucoup, voire aucun, de fichiers contenant des php malveillants. Je recommande fortement manuellement (bien avec windows find ou * nix grep quel que soit le cas de la plate-forme sur laquelle votre site est exécuté) de rechercher dans votre installation wordpress entière pour les fichiers qui n'appartiennent pas et surtout tous les fichiers contenant du code php qui avoir eval () et / ou base64_decode () en eux, surtout imbriqués! Si vous en trouvez qui ne font évidemment pas partie du système et que vous attendez, vous devez immédiatement lancer une nouvelle installation de wordpress et y déplacer votre répertoire wp-content, à condition qu'il n'y ait pas non plus de mauvais fichier. Dans ce cas, vous feriez mieux de recommencer le site à partir de zéro. Heureusement, c'est assez facile avec un site wordpress.

Mce128
la source
15
Cela pourrait juste être ce plugin Superfish jQuery , qui semble être nommé comme par hasard.
IMSoP
2
Il est à noter que cela pourrait être aussi simple que le plugin Superfish jQuery génère un faux positif en raison de la similitude du nom avec les autres Superfish. Si les humains ont du mal à les différencier, il n'est pas surprenant qu'un ordinateur puisse également avoir des difficultés.
Aslum
Merci pour la suggestion, comme d'autres utilisateurs l'ont dit, que le script est une simple enveloppe JS du thème Contango. De plus, si le problème venait de l'installation de WordPress, tous les fichiers seraient sûrement bloqués, et pas seulement un ou deux.
2
@ Andrew Oui, absolument, si cela fait réellement partie du modèle / du thème, alors ce n'est pas le problème car il serait alors à l'échelle du site. J'imagine que j'aurais peut-être dû jeter un coup d'œil autour du site et regarder pour voir si cela figurait sur toutes les pages. Souvent, selon mon expérience, lorsque ces liens sont compromis, des choses souvent étranges sont injectées dans des pages simples. Clairement, j'ai sauté le pistolet là-bas. Principalement parce que je n’étais pas au courant du plugin jQuery qui partage le nom avec ce logiciel insidieux. Je me demandais si c'était peut-être un installateur de rouge ou quelque chose si vous n'aviez pas été celui qui l'a ajouté.
1
Bien que, je suggère toujours fortement de vérifier ce que j'ai décrit dans mon dernier paragraphe. Malheureusement, je vois ce genre de choses très souvent lorsque je reçois des appels de clients dont les sites wordpress ont été compromis. C'est un motif assez courant dans les fichiers du site. En fait, la plupart du temps, je ne trouve même pas de fichiers système qui ont été modifiés, ou seulement quelques-uns d'entre eux, allant de quelques fichiers malveillants superflus à des milliers! Dans ces cas, les noms de fichiers tentent généralement de faire partie du système ou sont des noms généralisés.
8

... compressé le fichier EXE de l'application avec le compresseur UPX ...

Il y a environ 10 ans, UPX était couramment utilisé par les virus pour les rendre plus difficiles à détecter et à faire de l'ingénierie inverse. En fait, il est devenu si courant que de nombreux anti-virus considèrent désormais tout programme contenant de l’UPX comme une menace par défaut. C'est presque certainement votre problème.

Vous n'avez vraiment que deux options:

  • Utilisez VirusTotal pour déterminer quels sites estiment que votre logiciel est un logiciel malveillant et soumettez-le à ces entreprises avec un faux positif.
  • Utilisez une méthode différente pour compresser votre logiciel. Une bonne alternative est l’exécutable à extraction automatique , qui devrait encore mieux compresser votre logiciel, sans l’obscurcissement suspect.
BlueRaja - Danny Pflughoeft
la source
1
Merci, c'est très utile. En fait, mon AV a détecté le compresseur UPX comme une sorte de "menace", ce qui est très gênant. Je vais m'en débarrasser de toutes les versions ultérieures.
andreszs
4

Je gère un site Web de passionnés de logiciel vieux de 20 ans et je rencontre également vos problèmes. C’est un site qui a connu son heure de gloire aux alentours de l’an 2000 et fonctionne maintenant comme une archive. Environ trois fois par an, la navigation sécurisée Google identifie un nouveau «malware», généralement écrit et téléchargé entre 1999 et 2002. Peu importe que ce soit toujours le cas. Peu importe que personne ne l’ait touché depuis plus d’une décennie. L'analyse de ce fichier avec virustotal montre inévitablement la présence d'un virus, mais ce n'est jamais le cas des logiciels antivirus populaires comme Symantec ou autres, toujours ceux dont vous n'avez jamais entendu parler - une fois, l'un de ses scanneurs de virus a même montré l'existence d'un virus. sur un fichier texte de 530 octets.

Alors, quelle est la solution? Étant donné que Google Safe Browsing est le juge, le jury et le bourreau, vous avez 3 options:

  1. Supprimez le fichier et faites autre chose de votre vie (recommandé pour des raisons de santé mentale)

  2. Modifiez radicalement le contenu du fichier (généralement, si après les modifications, virustotal ne le récupère pas, vous êtes prêt à partir)

  3. Mettre le téléchargement de fichier derrière un login

Personnellement, je ne m'en soucierais pas beaucoup, je trouve cela triste de devoir supprimer un logiciel qui ne peut être trouvé nulle part ailleurs.

L'Eventreur
la source