McAfee chybně označuje některé JS jako maligní

Detekovali jsme velké množství falešných poplachů generovaných antivirovým řešením od McAfee.

V poslední době jsme analyzovali několik podezřelých hlášení týkajících se malwaru na stanicích s Windows. Ve všech případech se jednalo o  javascripty (zkr. JS), které pocházely z různých stránek na internetu.

Všechny JS byly obfuskované, takže na první pohled nebylo zřejmé, co dané JS dělají a hlavně zda nedělají ještě něco navíc. V okamžiku, kdy jsme je deobfuskovali, tak jsme v nich nenašli žádný škodlivý kód.

Když jsme daný JS nahráli na Virustotal.com, tak byl McAfee jediný antivirus (nepočítáme ten jeden, který detekuje virus téměř ve všem), který v něm detekoval škodlivý kód. Když jsme však na Virustotal nahráli jeho deobfuskovanou verzi, tak už McAfee stejně jako všechny ostatní antiviry hlásil, že je daný JS čistý.

Pokud by se to stalo jen jednou, tak bychom nad tím asi mávli rukou a považovali to za náhodu. Jenže to nebyl jediný případ. McAfee se naprosto stejně choval i u desítky různých obfuskovaných JS a nacházejících se i na zcela různých webech, a sloužící i k jiným účelům. A vždy, když byla McAfee předhozena deobfuskovaná verze, tak už hlásil, že je daný JS čistý.

Zde najdete výsledek skenu obfuskovaného skriptu:

a zde výsledek skenu deobfuskovaného skriptu:

A aby toho nebylo málo, tak McAfee označuje jako maligní i JS, které obsahují jen určitý řetězec v komentáři, na který kdysi narazil na jiném webu, a kde byl nejspíš skutečně uložen nějaký škodlivý kód. Co třeba říkáte na následující kód? Jedná se o fragment skriptu shadowbox.

Vymazali jsme z něj veškerý kód a ponechali jen část komentáře ale i ten jen prý maligní, viz výsledek skenu:

JS přitom dělal skutečně jen to, co měl. Zobrazil obrázek a umožňoval návštěvníkovi stránek se v galerii pohybovat dopředu a dozadu.

Že McAfee není v nejlepší kondici, pozorujeme už delší dobu, asi před půl rokem nám McAfee havaroval a pak jako virus dokonce detekoval sám sebe. V paměti jsme nalezli jeho signatury malware, takže nejspíš proto. A úplně nejlepší bylo, když při skenování souborového systému smazal svůj vlastní soubor a následně havaroval.

Závěr: Víme, že bych neměli generalizovat, ale přijde nám, že McAfee se mnohdy vůbec nesnaží JS deobfuskovat a jen na základě výskytu určitého řetězce ho hned označuje jako maligní.

A jaké jsou vaše zkušenosti s McAfee nebo jiným antivirem a jeho falešnými detekcemi?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “McAfee chybně označuje některé JS jako maligní” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: