Перейти к содержанию
Сергей Ильин

Жертвы McAfee SiteAdvisor в рунете

Recommended Posts

Сергей Ильин

Не так давно наш сайт повторно попал в черные списки McAfee SiteAdvisor, о чем я писал в этой теме http://www.anti-malware.ru/forum/index.php?showtopic=4378 Установив данные плагин себе на компьютер, стал частенько замечать его подозрительные срабатывание. Поэтому решил воздать отдельную тему, куда буду публиковать FPs или подозрения на них.

http://forum.kasperskyclub.com/ - опасный сайт

1 "красная" загружаемая программа

В результате проведения тестов на данном веб-сайте были обнаружены загружаемые программы, которые некоторые пользователи считают шпионскими программами, программами для показа рекламы или другим нежелательным программным обеспечением.

http://www.siteadvisor.com/sites/http%3A//...perskyclub.com/

Особенно интересно на что именно ругается McAfee. Это файл KTU_1496293.rar

Как вы думаете, что это? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Так адвизор нашел кровожадную и беспощадную утилиту http://ktu.kasperskyclub.com/rus.html - http://www.siteadvisor.com/sites/kaspersky...loads/17219987/ .... и радостно загнобил весь сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Mr. Justice, да, еще не сняли :(

Дублирую здесь:

McAfee SiteAdvisor помечает как опасный сайт популярной среди юристов информационно-справочной системы "КонсультантПлюс" http://www.consultant.ru/. В качестве причины указывается наличие ссылок на mail.ru.

Вот результаты проверки http://www.siteadvisor.com/sites/http%3A//www.consultant.ru/

Так адвизор нашел кровожадную и беспощадную утилиту http://ktu.kasperskyclub.com/rus.html

Ага :) Причем он другие версии этой же тулзы оценивает как нормальные, а именно эту версию оценил как опасную с рейтингом 6 из 10

http://www.siteadvisor.com/sites/kaspersky....com/downloads/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Марат, конечно, тот еще "былдлокодер" (.Нет Бейсик, да), но не вирусмейкер :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Очередная жертва - http://www.radmin.ru/

Причину блокировки я не понимаю. Там написано следующее:

В ходе анализа веб-репутации McAfee TrustedSource на этом сайте обнаружены потенциальные угрозы безопасности. Соблюдайте крайнюю осторожность.

http://www.siteadvisor.com/sites/radmin.ru

Никаких подробностей больше нет. Загружамые файлы все чистые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Об истории с ФК ЛК. Детект на эту имитацию троян-даунлеудера https://www.virustotal.com/file/843cfa5fc63...sis/1342204276/ Он качает заглушку и тут же запускает ее. Теперь просто меняем

This program cannot be run in DOS mode
на
This program Cannot be run in DOS mode
и получаем https://www.virustotal.com/file/84f5d209e10...sis/1342205453/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Umnik, половина детектов отвалилась, неплохо. :)

********************

Еще одна жертва, многими любимое храналище всякого хлама - http://www.softportal.com

http://www.siteadvisor.com/sites/http%3A//www.softportal.com

Там букет целый: ссылки на softbn.ru + подозрительные файлы в раздаче http://www.siteadvisor.com/sites/softporta...oads/startat20/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Еще одна жертва - http://2ip.ru/ - может быть небезопасным для посещения.

В ходе анализа веб-репутации McAfee TrustedSource на этом сайте обнаружены потенциальные угрозы безопасности. Соблюдайте крайнюю осторожность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Еще одна жертва - _http://2ip.ru/ - может быть небезопасным для посещения.

И ещё одна жертва аборта - шведский стол - "Соблюдайте крайнюю осторожность" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И ещё одна жертва аборта - шведский стол - "Соблюдайте крайнюю осторожность"

Блокировать сайты конкурентов - это святое :) В Швеции видимо Касперский особенно достал McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А вот это уже большой лол

http://images.yandex.ru/yandsearch полностью в блоке McAfee SiteAdvisor. Причем на http://images.yandex.ru/ пускает, а если набрать любое слово в поиске, то сайт становится опасным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А вот это уже большой лол

http://images.yandex.ru/yandsearch полностью в блоке McAfee SiteAdvisor. Причем на http://images.yandex.ru/ пускает, а если набрать любое слово в поиске, то сайт становится опасным :)

Это из-за того, что на https://images.yandex.ru отдается неправильный сертификат. У тебя не тольк Макафи, а даже браузер на такое ругаться будет.

Вове Иванову еще позавчера отписывал по этому поводу, обещали поправить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это из-за того, что на https://images.yandex.ru отдается неправильный сертификат. У тебя не тольк Макафи, а даже браузер на такое ругаться будет.

Браузеры молчат у меня. Показывает, что сертификат просто отсутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×