Firefoxがサイトにマルウェアを配布していると非難

45

Firefoxが私のサイトの一部のEXEインストーラーをブロックすることを決定したことに気づき、「Blocked:May contains virus or spyware」というラベルを表示しました。私は、ファイルを右クリックし、選択ブロックを解除すると、このメッセージが表示されてとにかくブロックを解除してくれ安全を守るオプション:

ファイルには、コンピューターに損害を与えるウイルスまたはその他のマルウェアが含まれています。別のダウンロードソースを検索するか、とにかく続行できます。

ダイアログには「may」と表示されないことに注意してください。それはあなたのコンピューターに害を与えると言っています。

この警告は何に基づいて表示されますか?

ChromeとFirefoxが広範な誤検知のリストに使用しているプロバイダーを確実に知りません。サイトstopbadware.orgが責任を負うと言う人もいますが、私にはよくわかりません。

手遅れになる前に、すぐに効果的な方法で私のサイトの残されたものとソフトウェアの評判を復元するために進む方法についてアドバイスしてください。ありがとうございました。

サイトとソフトウェアについて尋ねる人は、これです: http //www.andreszsogon.com/grf-wizard/

ソフトウェアは私のものです。これは、コマンドラインツール用のシンプルなGUIです。VB6で開発し、UPXコンプレッサーでアプリのEXEを圧縮し、Inno Setupでインストーラーを構築し、FTPでアップロードしました。インストールしてテストし、必要なだけスキャンしてください。

google-chrome  firefox  malware 
アンドレス
ソース
35
exeにウイルスが含まれていないことをどのように確認しますか?お使いのコンピューターは、使用しているコンパイラーに感染したウイルスを持っている可能性がありますが、コンパイラーは、コンパイルしようとするすべてのexeにウイルスを挿入しますか?あるいは、WebサイトがHTTPSを使用していない場合、中間の人(ISPなど)がウイルスをexeに挿入している可能性があります。
7
あなたのサイトは何ですか?あなたのサイトのEXEをVirusTotalまたは他のソースに対してチェックしましたか?Firefoxが間違っていることをどのように知っていますか?
DW
4
あなたの実行ファイルが感染していることをこのオンラインativirusテスト・スイートの発言:metascan-online.com/en/scanresult/file/...
Lesto
25
あなたの質問は非常に大暴れです。これは、フラストレーションを解消するのに適した場所ではありません。マルウェアを識別するプロセスは決定論的ではありません。常に偽陽性と陰性があります。ただし、ここには正当な質問があります。基本的には、「マルウェアの識別はどのように機能し、誤検知についてどうすればよいですか」です。個人的で感情的なコンテンツを削除して、それを実際の質問の適切なプレゼンテーションに導くことができれば、私たちは皆それを感謝します。
jpmc26
6
あなたはwordpressバージョン3.8.1を実行していて、あなたのサイトが安全であると主張していますか?いくつかの更新を強くお勧めします...安全ではありません。

回答:

76

FirefoxとGoogleセーフブラウジングに対する怒りに巻き込まれる前に、最初のステップはGoogleセーフブラウジングが正しいかどうかを判断することです。サイトがマルウェアやウイルスを含む実行可能ファイルを配布していることに気付かずに配布することは珍しくありません。多くの場合、Googleセーフブラウジングは適切であり、サイトメンテナーは状況を認識していませんでした-サイトがハッキングされたり、誰かが気づかずにウイルスに感染したファイルをアップロードしたりすることがありました。

そのため、サイトをよく見て、ダウンロードに問題がある可能性があるかどうかを確認することから始めてください。あなたは熟読することから始めることができますstopbadware.orgからウェブマスター向けヘルプハッキングされたサイトのためのGoogleのウェブマスターの助けを。次に、実行する必要があるいくつかの一般的な手順があります。

  1. サイトにマルウェアがあるかどうかを確認します。サイトを慎重にスキャンして、ダウンロードしたファイルが危険であるか、ウイルス/マルウェアが含まれているかどうかを確認する必要があります。まず、Googleウェブマスターツールを使用して、Googleが検出した不良ファイルを確認します。また、Googleセーフブラウジングの詳細な診断ページを見て、そこにリストされている特定のページとファイルをよく見てください。ここで診断ページ表示して、どのページが具体的にリストをトリガーしたかを確認できます。また、サイトで利用可能にする各EXEをVirusTotalにアップロードし、ウイルスをチェックすることをお勧めします。

  2. サイトにセキュリティホールがあるか、ハッキングされているかどうかを確認します。 多くの場合、ハッカーはセキュリティホールのあるサイトを見つけ、そのサイトを侵害し、サイトにマルウェアを挿入するように変更します。サイト管理者がこれを最初に知るのは、Googleセーフブラウジングにリストされたときです。したがって、これがあなたに起こったかどうかを注意深く確認する必要があります。以下は、あなたのウェブサイトをスキャンする無料のサービスです。

    セキュリティの弱点を見つけた場合は、サイトをオフラインにして修正してください。サイトが侵害されていることがわかった場合は、サイトを消去して、既知の正常なバックアップからすべてをリロードする必要がある可能性があります。その他のリソースについては、https://www.stopbadware.org/hacked-sites-resourcesを参照してください

  3. ハッキングからサイトを保護します。サイトのセキュリティを確認し、ハッキングに対して十分に保護されていることを確認することをお勧めします。背景については、たとえばhttps://www.stopbadware.org/prevent-badware-basicsご覧ください。また、サイトソフトウェアが完全に更新されていることを確認してください。

これらのツールを使用すると、次のことがわかります。

  • Sucuriは、WordPressの古いバージョン(4.2より前)を実行していると言います。Wordpress 3.8.1を実行しているようです。4.2.2は現在のバージョンです。これにより、サイトが脆弱であり、侵害される可能性が高くなります。Wordpress3.8.1には既知の脆弱性が複数あります。常に最新バージョンのソフトウェアを実行するようにしてください。最新の状態を維持できないと、攻撃者がサイトを侵害し、マルウェアをホストするためにそれを使用する機会が生まれます。したがって、WordPressをアップグレードしてください。

  • Googleセーフブラウジングによると、2015-05-10にGoogleがアクセスしたとき、サイトはマルウェアをホストしていました。「1ページの結果、ユーザーの同意なしに悪意のあるソフトウェアがダウンロードおよびインストールされました」。明らかに、最新の訪問2015-05-25でマルウェアは検出されなかったため、過去のある時点でサイトがマルウェアをホストしていたように聞こえますが、もはやマルウェアではありません。

    問題のあるページが何であるかは明確ではありません。のレポートにwww.andreszsogon.com/grf-wizard よると、の下に悪意のあるページは見つかりませんでした/grf-wizard。そのため、問題のあるページは他のページの下にあるに違いないと推測できますがwww.andreszsogon.com、それはの下にはありませんでした/grf-wizard。Googleセーフブラウジングのオンラインインターフェースをいじってみましたが、どのページでサイトがシステムにリストされるのかを絞り込むことができませんでした。

DW
ソース
3
すべてのテストが実行され、ウェブマスターツールがチェックされました。私はAVのインストール方法や更新方法を知らない普通の平均的なユーザーではないことを覚えておいてください。私はソフトウェアとWebアプリを15年間開発しています。このサイトは安全で、すべてのソフトウェアはクリーンです。
どのような種類の署名/証明書が自己署名を使用している可能性がありますか?また、いくつかの圧縮タイプが関係している圧縮は、iffyとしてフラグが立てられる可能性が高い
78
@Andrew正直に言って、もしあなたがあなたがあなたが持っていると主張する経験があるなら、「サイトは安全です」のような声明を出すことは全く不可能であることを知っているでしょう。たとえば、あなたはワードプレスを実行しています。長年にわたり、ワードプレスのインストールに対するゼロデイ攻撃が無数にありました。さらに、Google Adsense広告も実行しており、少なくとも1つのサードパーティのWordpressプラグインを使用しているようです。あなたはおそらく大丈夫だとみなされますが、事実はあなたが何について話しているのか分からないという兆候に過ぎないとあなたが知っていると宣言します。いずれにしても(続き)
デビッドモルダー
21
Googleセーフブラウジングでは、時々奇妙な誤検知が発生することがありますが、私の経験では、これらも非常に迅速に修正されるため、幸運を祈ります。Googleセーフブラウジングプロジェクトはすべて、費用がかかるよりも多くのトラブルを軽減してくれましたが、ときどきイライラする可能性があります。
デビッドモルダー
10
@Andrew UPXは、マルウェアをパックするために最も一般的に使用されるパッカーです。そのため、UPXを使用してダウンロードもパックすると、アラームがオフになります。
マイケルハンプトン
32

ソースは最近、「ウイルスまたはスパイウェア」を主張するダウンロードの削除を開始しました。

「過去2日間、ダウンロードウィンドウ「ブロック:ウイルスまたはスパイウェアが含まれている可能性があります」というエラーメッセージが表示され、ダウンロードの一部が削除され始めました

...

Firefoxは、Googleの「セーフブラウジング」プロジェクトデータを使用して、Webサイトとダウンロードの評判を評価します。Googleは頻繁に、提供するデータを変更します。たとえば、実際のマルウェアに加えて、不審なプログラムにフラグを立てている場合があります。

将来的には、開発者はブロックをオーバーライドしてファイルを取得するオプションを検討しています。セキュリティに敏感な変更の設計には時間がかかるため、おそらくそれが現れるまでに少なくとも数ヶ月はかかるでしょう。

今のところ、これらのファイルブロックが「誤検知」であり、ファイルが実際に安全であると思われる場合は、次のいずれかを実行できます。

(1)別のブラウザーを使用してファイルをダウンロードする(いいね)

(2)このセキュリティチェックをバイパスするダウンローダーアドオンを使用してファイルをダウンロードします。別のスレッドでこれについて聞いたことがありますが、自分で試したことはありません(また、このアドオンを信頼するアドオンがわかりません!)。

(3)セーフブラウジング機能を一時的に無効にしてファイルを取得し、再びオンにします。[オプション]ダイアログにはチェックボックスがあります。

「3バー」メニューボタン(または[ツール]メニュー)> [オプション]> [詳細]

[セキュリティ]タブの[報告された攻撃サイトをブロックする]チェックボックスです。もう1つのチェックボックスはフィッシングサイトに関連しており、ダウンロードには影響しないと思います。

ソース組み込みのフィッシングおよびマルウェア対策はどのように機能しますか?

Firefoxには、オンラインで安全に保つためのフィッシングおよびマルウェア対策が組み込まれています。これらの機能は、アクセスしたページが正当なサイトのWeb偽造(「フィッシング」ページと呼ばれることもあります)またはコンピューターに損害を与えるように設計された攻撃サイト(マルウェアとも呼ばれる)として報告されたときに警告します。この機能は、マルウェアとして検出されたファイルをダウンロードした場合にも警告します。

...

「サイトが安全であることを確認しました。リストから削除するにはどうすればよいですか?」

攻撃されたサイトを所有していて、その後修復した場合、またはサイトが誤って報告されたと感じた場合は、リストから削除するようリクエストできます。ただし、サイト所有者には、このようなレポートを徹底的に調査することをお勧めします。多くの場合、サイトは目に見える変更を加えることなく攻撃サイトに変えることができます。

  • 報告されたフィッシングサイトのリストからの削除をリクエストするには、Googleが提供するこのフォームを使用してください。
  • 報告されたマルウェアサイトのリストから削除をリクエストするには、stopbadware.orgが提供するこのサイトを使用します。
デビッド・ポスティル
ソース
1
おかげで、これらのフォームを試してみます。フィルターを無効にするか、別のブラウザー(?)を使用することは解決策ではなく、完全にクリーンなファイルを誤って非難するため、ユーザーにこのブラウザーまたはそのブラウザーの使用を強制することはできません。唯一の解決策は、プロバイダーのデータベースから誤検知を削除することです。
7
@Andrew、ファイルをvirustotalに送信することもお勧めします。おそらく、一部のベンダーがプログラムをマルウェアとして検出していることがわかります(おそらく汎用シグネチャ)。
アンヘル
19
@Andrew不幸なことに、あなたは暴言を提出しただけでなく、その中にある核となる質問への回答を拒否しました。このサイトは、最終的には個人のヘルプデスクではなく、他のユーザーの知識のリポジトリです。
GWTはこの問題を「セキュリティの問題」と呼ばれる別のセクションに表示しており、URLには「不明なマルウェア」というラベルが付いていることがわかりました。メインEXEにUPXを使用せずにインストーラーを再アップロードし、この問題を修正するためのレビューをお願いしました。
2
Andrew、インストーラーがUPXを削除してマルウェアテストに合格した場合、忘れずに回答を受け入れてください。
19

多くのウイルススキャナーはパッカーの使用を不正行為の事実上の証拠と見なしているため、自分のソフトウェアでUPXの使用を中止する必要がありました。ダウンロードのアンパックバージョンを投稿して、警告が消えるかどうかを確認できます。

エリック・ノウルズ
ソース
1
答えですか?これはコメントで投稿する必要があります。
2
実際、AvastはUPX.exeを「脅威」として検出します。しかし、それで圧縮されたファイルは「クリーン」と見なされます。念のため、非圧縮EXEを含む新しいインストーラーをアップロードしました。
15
フランシスコ:なぜこれをコメントとして投稿すべきだったのですか?それは明らかにOPの質問への答えとして意図されていました。
6
@FranciscoTapiaこれは間違いなく答えであり、おそらく正しい答えです。
ブラッド
1
ここでの良い質問は、完全にトピック外ですが、なぜ2015年に今日のダウンロード速度でUPXまたは他のEXEパッカーを使用するのですか?EXEをパックしてサイズを小さくすること(これを行う理由がこれ以上ない場合)が、特にアカウントですべてのトラブル(多くの点で表される)を考慮に入れると、誰にも利益があるとは信じられません。そうするとき。
トレジェ
12

リンクしたページでソースを表示しましたが、質問が発生しました。次のスクリプトタグをサイトに追加したのですか?それとも誰かがそれをあなたのワードプレスに忍び込ませたのですか?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

私はむしろ、スーパーフィッシュからのものを含めると、Googleのセーフサーチデータベースによってブロックされると強く疑います。言うまでもなく、スーパーフィッシュの評判は非常に悪いです。結局、昨年末に向けてノートブックにスーパーフィッシュソフトウェアを含めたことでLenovoに何が起こったのかを見てください。彼らは巨大なPRヒットを取りました。

また、AVソフトウェアは非常に多くの場合、悪意のあるphpを含むファイルをまったく見つけられないか、まったく見つけられません。私は強く属していないファイルのためのあなたの全体のWordPressのインストールを検索する(うまく持つウィンドウがケースはあなたのサイトを実行しているプラットフォームのためのものであってもよい方nixのはgrepを見つけるか、*)手動助言特になことPHPコードを含むすべてのファイル特にネストされたeval()やbase64_decode()があります!明らかにシステムの一部ではなく、予想されるものを見つけた場合、すぐにwordpressの新しいインストールを開始し、wp-contentディレクトリをそこに移動する必要があります(ただし、そこに不良ファイルもなければ)。その場合、最初からサイトを最初からやり直すことをお勧めします。幸いなことに、それはワードプレスのサイトで非常に簡単です。

Mce128
ソース
15
それはこのSuperfish jQueryプラグインだけかもしれません。
IMSoP
2
もちろん、Superfish jQueryプラグインが他のSuperfishとの名前の類似性により誤検知を生成しているのと同じくらい簡単なこともあります。人間がそれらを区別するのに苦労している場合、コンピューターも困難を伴うかもしれないことは驚くにはあたらない。
アスラム
他のユーザーが言ったように、このスクリプトはContangoテーマの単純なJSラッパーの一部であるという提案に感謝します。また、問題がWordPressのインストールにある場合、1つまたは2つだけでなく、すべてのファイルが確実にブロックされます。
2
@Andrewはい、確かに、実際にテンプレート/テーマの一部である場合、サイト全体で問題になることはありません。おそらく、私はサイトのあちこちを見回して、それがすべてのページにあるかどうかを確認すべきだったと思います。多くの場合、これらのスタイルが危険にさらされる私の経験では、しばしば奇妙なものが単一のページに挿入されます。明らかに、私はそこに銃をジャンプしました。主に、その陰湿なソフトウェアと名前を共有するjQueryプラグインを知らなかったので。おそらくそれがルージュなインストーラーなのか、それともあなたがそれを追加したのでなければ、何かなのかと思いました。
1
ただし、最後の段落で説明したことを確認することを強くお勧めします。残念ながら、侵害されたワードプレスのサイトを持っているクライアントから電話がかかってきたとき、私はそのようなことを頻繁に見ます。これは、サイトのファイル内のかなり一般的なパターンです。実際、ほとんどの場合、変更されたシステムファイルや、文字通り数千個の無関係な厄介なファイルからわずかな数のファイルだけを見つけることはありません。これらの場合のファイル名は通常、システムの一部であるように見えるか、意味不明な名前が生成されます。
8

...アプリのEXEをUPXコンプレッサーで圧縮しました...

約10年前、UPXはウイルスの検出とリバースエンジニアリングをより困難にするためにウイルスによって一般的に使用されていました。実際、非常に一般的になったため、現在では多くのアンチウイルスがUPXで圧縮されたプログラムをデフォルトで脅威と見なしています。これはほぼ間違いなくあなたの問題です。

実際には2つのオプションしかありません。

  • VirusTotalを使用して、どのサイトがソフトウェアがマルウェアであると考えているかを判断し、それらの企業にプログラムを誤検知として送信します。
  • 別の方法でソフトウェアを圧縮してください。優れた代替手段は、自己解凍型の実行可能ファイルです。これにより、疑わしい難読化なしに、ソフトウェアの圧縮がさらに向上します。
BlueRaja-ダニー・プルフホイフト
ソース
1
おかげで、それは非常に便利です。実際、私のAVはUPXコンプレッサーを一種の「脅威」として検出しましたが、これは非常に迷惑です。私はそれ以降のすべてのバージョンからそれを取り除きます。
-andreszs
4

私は20歳のソフトウェア愛好家のウェブサイトを運営しており、あなたの問題にも出くわします。これは、2000年頃に全盛期を迎えたサイトであり、現在はアーカイブとして機能しています。毎年約3回、Googleセーフブラウジングは、通常1999年から2002年ごろに記述およびアップロードされた新しい「マルウェア」を識別します。誰も10年以上触れていないことを気にしないでください。このファイルをvirustotalでスキャンすると、必然的にウイルスがあることがわかりますが、シマンテックやその他のような人気のあるウイルスソフトウェアによるものではありません。 530バイトのテキストファイル。

それで解決策は何ですか?Googleセーフブラウジングが裁判官、ju審員、死刑執行人である場合、3つの選択肢があります。

  1. ファイルを削除して、あなたの人生で何か他のことをしてください(正気のために推奨されます)

  2. ファイルの内容を根本的に変更します(通常、変更後にvirustotalがファイルを取得しない場合は、行っても構いません)

  3. ダウンロードしたファイルをログインの背後に配置する

個人的には、私はそれをあまり気にしません。他のどこにも見つからないソフトウェアを削除しなければならないとき、私はただ悲しいことに気づきます。

TheRipper
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.