Автор Тема: False detect? (Прочитано 1792 раз)

bubek · « : 28 Февраль 2016, 11:01:48 »

Перестали делаться полные бэкапы на сайте.
Стал разбираться - бэкапы удаляются антивирусом ClamAV
детект Zip.Suspect.MacroDoubleExtension-zippwd

В распакованных файлах ничего не находит.

Скачал с репозитория santa3.10.zip и santa3.14_beta.zip
вот результат:
https://www.virustotal.com/ru/file/0b9e8b2f440bbc9386f306c947524322c6f3442e811a63fc4fe6659ead8dc03b/analysis/1456645824/
https://www.virustotal.com/ru/file/a6604e62d65d7cbffeb0e8ea404aee3db8fef3faa137c833dc523f2202f309ab/analysis/1456646131/

Кто-нибудь скачайте дистрибутивы и проверьте на virustotal тоже.

Rinat · « **Ответ #1 :** 28 Февраль 2016, 14:13:49 »

Ну на zip он ругается потому что santa3.14.zip (типа несколько разрешений якобы)
А вот по настоящему он ругается на безвредную png-шку:
admin/templates/default/css/custom-theme/images/ui-icons_222222_256x240.png

bubek · « **Ответ #2 :** 28 Февраль 2016, 17:58:32 »

Цитата: Rinat от 28 Февраль 2016, 14:13:49

Ну на zip он ругается потому что santa3.14.zip (типа несколько разрешений якобы)
А вот по настоящему он ругается на безвредную png-шку:
admin/templates/default/css/custom-theme/images/ui-icons_222222_256x240.png

Я сразу тоже так подумал, убирал точки в названии - та же ерунда.
Этот файл я выявил тоже, открыл в редакторе и пересохранил - уже нет детекта.
Но есть еще один файл
import_csv.html
https://yadi.sk/d/8tJykRyQpfhhC
https://www.virustotal.com/ru/file/625c34068625a1042d59a1e37fe06506bb6ca7f37f37cc7393cfe7f05597c0c0/analysis/1456671160/

Rinat · « **Ответ #3 :** 28 Февраль 2016, 18:46:48 »

Был похожий случай, у Алекса, немного настораживает.
Но ничего не было найдено...
М.б. у тебя вирусы?
Код import_csv.html - не вызывает никаких подозрений.

Rinat · « **Ответ #4 :** 28 Февраль 2016, 18:50:19 »

Хотя какие вирусы, я сам этот файл проверяю, тоже самое.
Но там даже намека на вирус нет, можеть ему название функции importTypeClick не очень нравится....

bubek · « **Ответ #5 :** 28 Февраль 2016, 21:37:30 »

Я ради эксперимента весь код с файла удалил и запаковал, опять вирус в архиве находит!

Ну предположим у меня вирус. В этом случае все заархивированные файлы были бы с вирусами,но вот случайный файл заархивировал
https://www.virustotal.com/ru/file/9f56af30aef8cc6faeb173d1c883dfaf7530b9aee65b598a3a71c776f14a5783/analysis/1456684249/

Сообщил в СlamAV

Rinat · « **Ответ #6 :** 28 Февраль 2016, 22:42:41 »

У меня в случае если архив - то находит вирус, а если простой файл - ничего нет.
Можеть какая-то особая реакция ClamAV на такое дело..

Rinat · « **Ответ #7 :** 28 Февраль 2016, 22:49:17 »

Он ругается в любом случае, даже если файл пустой. Ему по ходу дела имя не нравится

bubek · « **Ответ #8 :** 03 Март 2016, 22:45:31 »

Ну все, исправили ложный детект.
https://www.virustotal.com/ru/file/cb2bbb2d9ffee96b3aaecfeb6a378359d0ed744a40fd769e5450d7c535323c0f/analysis/1457033866/
https://www.virustotal.com/ru/file/0b9e8b2f440bbc9386f306c947524322c6f3442e811a63fc4fe6659ead8dc03b/analysis/1457034151/

Santafox CMS

Автор Тема: False detect? (Прочитано 1792 раз)

bubek

False detect?

Rinat

Re: False detect?

bubek

Re: False detect?

Rinat

Re: False detect?

Rinat

Re: False detect?

bubek

Re: False detect?

Rinat

Re: False detect?

Rinat

Re: False detect?

bubek

Re: False detect?