Firefox me acusando de distribuir malware no meu site

Percebi que o Firefox decidiu bloquear alguns instaladores de EXE do meu site, mostrando um rótulo Bloqueado: pode conter vírus ou spyware . Clique com o botão direito do mouse no arquivo, selecione Desbloquear e esta mensagem é mostrada com as opções Desbloquear de qualquer maneira e Manter-me seguro :

O arquivo contém um vírus ou outro malware que prejudicará seu computador. Você pode procurar uma fonte de download alternativa ou continuar assim mesmo.

Observe que a caixa de diálogo não diz may ; ele diz que irá prejudicar o seu computador.

Em que base esse aviso está sendo mostrado?

Ninguém sabe ao certo qual provedor o Chrome e o Firefox estão usando para sua extensa lista de falsos positivos. Alguns dizem que o site stopbadware.org é responsável, mas não tenho tanta certeza.

Por favor, informe sobre como proceder para restaurar o que resta dos meus sites e reputação de software de uma maneira imediatamente eficaz, antes que seja tarde demais. Obrigado.

Para quem pergunta sobre o site e o software, é este: http://www.andreszsogon.com/grf-wizard/

O software é meu. É uma GUI simples para uma ferramenta de linha de comando; Desenvolvi-o com o VB6, comprimi o EXE do aplicativo com o compressor UPX, construí o instalador com o Inno Setup e carreguei-o via FTP. Convido você a instalá-lo, testá-lo e digitalizar tudo o que quiser.

Antes de se envolver demais com o Firefox e a Navegação segura do Google, o primeiro passo é descobrir se a Navegação segura do Google está correta. Não é incomum os sites distribuírem executáveis ​​que contêm malware ou vírus, sem perceber que estão fazendo isso. Freqüentemente, a Navegação segura do Google está certa e os mantenedores do site simplesmente não estavam cientes da situação - às vezes, o site foi invadido ou, às vezes, alguém carregou alguns arquivos infectados por vírus sem perceber.

Portanto, comece analisando atentamente o seu site para ver se algum de seus downloads é possivelmente problemático. Você pode começar lendo a Ajuda para webmasters em stopbadware.org e a ajuda dos Webmasters do Google para sites invadidos . Depois, há algumas etapas gerais que você deve seguir:

1. Verifique se há algum malware no seu site. Você precisa verificar seu site com cuidado para verificar se algum dos downloads de arquivo é perigoso ou contém vírus / malware. Você pode começar usando as Ferramentas do Google para webmasters para verificar quais arquivos ruins o Google detectou. Você também deve consultar a página de diagnóstico detalhada da Navegação segura do Google e examinar atentamente as páginas e arquivos específicos listados lá. Você pode visualizar a página de diagnóstico aqui para ver quais páginas acionaram especificamente a listagem. Sugiro também que você faça o upload de cada um dos EXE disponíveis no seu site para o VirusTotal e verifique se há vírus.

2. Verifique se o seu site possui falhas de segurança ou foi invadido. Freqüentemente, o que acontece é que os hackers encontram um site com algumas falhas de segurança, comprometem o site e o modificam para inserir malware no site. A primeira coisa que os administradores do site descobrem é quando são listados na Navegação segura do Google. Portanto, você deve verificar cuidadosamente se isso aconteceu com você. Aqui estão alguns serviços gratuitos que analisarão seu site:

   • Verificação do site da Sucuri
   • Verificação do site SparkTrust
   • Verificação de site redleg
   • Desmascarar a verificação do site Parasites

   Se você encontrar falhas de segurança, coloque seu site offline e corrija-o. Se você achar que seu site foi comprometido, é provável que precise limpar o site e recarregar tudo, desde um backup em bom estado. Consulte https://www.stopbadware.org/hacked-sites-resources para obter mais recursos.

3. Proteja seu site contra hackers. Sugiro que você revise a segurança do seu site e verifique se ele está bem protegido contra hackers, para impedir que alguém invadir e modificá-lo para exibir malware. Veja, por exemplo, https://www.stopbadware.org/prevent-badware-basics para obter mais informações. Verifique também se o software do site está totalmente atualizado.

Quando uso essas ferramentas, eis o que encontro:

• A Sucuri diz que você está executando uma versão desatualizada do WordPress (pré-4.2). Parece que você está executando o Wordpress 3.8.1; 4.2.2 é a versão atual. Isso torna provável que seu site esteja vulnerável e possa ser comprometido: existem várias vulnerabilidades conhecidas no Wordpress 3.8.1. Você deve sempre executar versões atualizadas do software. Quando você falha em manter-se atualizado, isso cria uma oportunidade para os invasores comprometerem seu site e usá-lo para hospedar malware. Então, atualize o WordPress.

• A Navegação segura do Google diz que seu site estava hospedando malware quando o Google visitou em 10/05/2015: "1 página (s) resultou em software malicioso sendo baixado e instalado sem o consentimento do usuário". Aparentemente, nenhum malware foi encontrado na última visita, 25/05/2015, então parece que em algum momento no passado seu site estava hospedando malware, mas não existe mais.

  Não está claro qual era a página problemática. O relatório www.andreszsogon.com/grf-wizard diz que não foram encontradas páginas maliciosas em /grf-wizard. Portanto, você pode deduzir que a página problemática deve estar em outra página www.andreszsogon.com- mas não havia nada abaixo /grf-wizard. Tentei brincar com a interface on-line da Navegação segura do Google, mas não consegui restringir qual página fazia com que seu site fosse listado no sistema deles.

Fonte Recentemente começou a excluir downloads reivindicando 'vírus ou spyware'.

"Nos últimos dois dias, parte do download começou a ser excluída, dizendo que a mensagem de erro 'Bloqueado: pode conter vírus ou spyware', na janela de download. "

...

O Firefox usa dados do projeto "Navegação segura" do Google para avaliar a reputação de sites e downloads. De vez em quando, o Google altera os dados que fornece, por exemplo, pode sinalizar programas potencialmente indesejados, além de malware real.

Para o futuro, os desenvolvedores estão considerando uma opção para substituir o bloco e obter o arquivo de qualquer maneira. Provavelmente levará pelo menos alguns meses para que isso apareça, pois as alterações sensíveis à segurança levam tempo para serem projetadas.

Por enquanto, se você acha que esses blocos de arquivos são "falsos positivos" e se os arquivos são realmente seguros, siga um destes procedimentos:

(1) Baixe o arquivo usando um navegador diferente (caramba)

(2) Faça o download do arquivo usando um complemento de download que ignora essa verificação de segurança. Eu ouvi sobre isso em outro tópico, mas ainda não tentei (e também não sei em quais complementos confiar nisso!).

(3) Desative o recurso Navegação segura temporariamente para obter o arquivo e ligue-o novamente. Há uma caixa de seleção na caixa de diálogo Opções:

Botão de menu "3 barras" (ou menu Ferramentas)> Opções> Avançado

Na guia Segurança, é a caixa de seleção "Bloquear sites de ataque relatados". A outra caixa de seleção refere-se a sites de phishing e não acho que isso afeta downloads.

Origem Como funciona a proteção integrada contra phishing e malware?

O Firefox contém proteção integrada contra phishing e malware para ajudar a mantê-lo seguro online. Esses recursos o alertarão quando uma página que você visitar for reportada como falsificação na Web de um site legítimo (às vezes chamado de páginas de "phishing") ou como um site de ataque projetado para danificar seu computador (também conhecido como malware). Esse recurso também avisa se você baixar arquivos detectados como malware.

...

"Confirmei que meu site é seguro. Como removê-lo das listas?"

Se você possui um site que foi atacado e o reparou desde então, ou se sente que seu site foi relatado por erro, pode solicitar que ele seja removido das listas. No entanto, incentivamos os proprietários do site a investigar cuidadosamente qualquer relatório; um site geralmente pode ser transformado em um site de ataque sem nenhuma alteração visível.

• Para solicitar a remoção da lista de sites de phishing relatados, use este formulário fornecido pelo Google.
• Para solicitar a remoção da lista de sites de malware relatados, use este , fornecido por stopbadware.org.

Eu tive que interromper o uso do UPX com meu próprio software, porque muitos antivírus consideram o uso do empacotador uma evidência de fato de irregularidades. Você pode tentar postar uma versão descompactada do seu download e ver se o aviso desaparece.

Eu criei uma fonte de visualização na página que você vinculou e, bem, isso levanta uma questão: Foi você quem adicionou a seguinte tag de script ao seu site? Ou alguém conseguiu esconder isso no seu wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Como eu suspeitava fortemente que incluir qualquer coisa do superfish o bloqueasse pelo banco de dados de Pesquisa segura do Google. É quase desnecessário dizer que o superfish tem uma péssima reputação. Afinal, veja o que aconteceu com a Lenovo ao incluir software de pesca em seus notebooks até o final do ano passado. Eles levaram um enorme sucesso PR.

Além disso, como o software antivírus, muitas vezes, não pode / não encontrará muitos ou nenhum arquivo contendo php malicioso. Eu recomendo fortemente manualmente (bem com o Windows Find ou * nix grep, seja qual for o caso da plataforma em que o site está sendo executado), pesquisando em toda a instalação do wordpress arquivos que não pertencem e ESPECIALMENTE quaisquer arquivos que contenham código php que tem eval () e / ou base64_decode () neles, especialmente aninhados! Se você encontrar algum que obviamente não faz parte do sistema e o esperado, inicie imediatamente uma nova instalação do wordpress e mova o diretório wp-content para ele, desde que não haja arquivos ruins nele também. Nesse caso, seria melhor iniciar o site do zero. Felizmente isso é muito fácil com um site wordpress.

... compactou o EXE do aplicativo com compressor UPX ...

~ 10 anos atrás, o UPX era comumente usado por vírus para torná-los mais difíceis de detectar e fazer engenharia reversa. De fato, tornou-se tão comum que muitos antivírus agora consideram qualquer programa compactado com UPX uma ameaça por padrão. Este é quase certamente o seu problema.

Você realmente só tem duas opções:

• Use o VirusTotal para determinar quais sites acreditam que seu software é malware e envie seu programa para essas empresas como falso-positivo.
• Use um método diferente para compactar seu software. Uma boa alternativa são os executáveis ​​de extração automática , que devem fazer um trabalho ainda melhor na compactação do software, sem a ofuscação suspeita.

Eu administro um site para entusiastas de software de 20 anos e também encontro seus problemas. Este é um site que teve seu auge por volta do ano 2000 e agora funciona como um arquivo. Cerca de três vezes por ano, a Navegação segura do Google identifica um novo pedaço de "malware", geralmente escrito e enviado por volta de 1999 a 2002. Não importa se sempre esteve lá. Não importa que ninguém o toque há mais de uma década. A verificação desse arquivo com virustotal mostra inevitavelmente que existe um vírus, mas nunca pelos softwares populares como Symantec ou outros, sempre os que você nunca ouviu falar - uma vez, um de seus scanners de vírus mostrou que há um vírus em um arquivo de texto de 530 bytes.

Então, qual é a solução? Como a Navegação segura do Google é o juiz, júri e executor, você tem 3 opções:

1. Exclua o arquivo e faça outra coisa com sua vida (recomendado por sanidade)

2. Altere radicalmente o conteúdo do arquivo (normalmente, se após as alterações que o virustotal não atender, você estará pronto)

3. Coloque o download do arquivo atrás de um login

Pessoalmente, eu não me importaria muito, só fico triste quando tenho que excluir um software que não pode ser encontrado em nenhum outro lugar.