Virus auf borncity.com vermutet – wohl false positive

Noch eine kurze Info in eigener Sache. Kurz vor Weihnachten und diese Nacht erreichten mich Lesermails, dass auf dem Blog ein Virus gefunden wurde.


Anzeige

Da es möglicherweise mehr Leser gibt, die entsprechende Meldungen auf ihren Windows Clients beim Surfen auf meinem Blog erhalten, dokumentiere ich das Ganze mal. Der Text ist meist ähnlich – hier der Inhalt der Mail, die mir heute zugegangen ist.

beim Aufruf Ihrer Webseite – welche ich häufiger Besuche – zeigt mir GData heute diese Virusmeldung:
> > >
Virenprüfung von Web-Inhalten
Adresse:    
Status:     Der Zugriff wurde verweigert.

Welcher Virusscanner vom zweiten Leser verwendet wird, entzieht sich meiner Kenntnis. Der Alarm bezieht sich auf eine JavaScript-Routine eines Plugins für Google Analytics.

Interne Virenscanner melden nichts …

Allerdings ist es nicht so, dass ich hier blauäugig meinen Blog so ganz ohne Schutz laufen lasse. Intern läuft ein Virenscanner-Plugin, welches die Templates überprüft. Zudem kann ich weitere Plugins bei Verdacht ausführen lassen, die alle Dateien im Blog scannen. Ein Scan mit dem Wordfence Security Plugin ergab keinen Befall.

Externe Virenscanner melden nichts …

Zusätzlich habe ich die komplette Domain durch sitecheck.sucuri.net überprüfen lassen. Auch hier keine Ergebnisse – die Webseiten sind auch nicht in Blacklisten diverser Anbieter wie Google etc. aufgeführt.

Eine Suche im Web nach der Datei external-tracking.min.js?ver=6.4.9 ergab einige Treffer die auf normale Blogs verwiesen, die aber wohl auch nicht kompromittiert sind. Bei virustotal.com habe ich dann diesen Treffer für die Datei für eine andere Webseite gefunden. Nur Sophos weist die betreffende Datei samt Website als “Malicius site” aus. Ein erneuter Scan auf die in meinem Blog betroffene Datei ergibt dieses Ergebnis.

Alle von virustotal verwendeten Scanner melden die Datei bzw. die Site als “Clean” – auch eine von mir kurz durchgeführte Code-Inspektion ergab auf den ersten Blick nichts verdächtiges.


Werbung

Von daher: Mein Dank an die aufmerksamen Blog-Leser, die mich über die betreffende “Infektionsmeldung” in Kenntnis setzten. Nach meinen bisherigen Kenntnissen ist es aber wohl ein “false positive” diverser lokaler Windows Virenscanner, die einen Fehlalarm auslösen. Ich habe jetzt aber mal ein anderes Plugin im Blog aufgenommen, um die Analytics-Funktionen einzubinden.


Anzeige
Dieser Beitrag wurde unter Allgemein, Virenschutz abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Responses to Virus auf borncity.com vermutet – wohl false positive

  1. Dekre sagt:

    Lieber Herr Born,
    ich denke es liegt an den “external-tracking.min.js”. mit dieser o.g. Adresse. Dieser macht wohl Schwierigkeiten. Hier erziele ich bei Direkteingabe der Internetadresse bei
    # IE 11
    # Chrome und Firefox
    unterschiedliche Ergebnisse. Das hängt aber bei mir mit den unterschiedlichen Adblockeinstellungen/ Ghostery-Verwendung zusammen.
    Gebe ich die o.g. Adresse in IE 11 direkt ein (kopiert), so kommt:
    “Möchten Sie ‘external-tracking.min.js’ (1,16 KB) von “borncity.com” öffen oder speichern?” Ich habe es dann gespeichert und anschließend mit Virustotal analysiert. Dort gibt es ein Treffer von 53 und zwar von nPortect mit dem Ergebnis: “Trojan.Script.645973”.
    Gebe ich die Adresse in Chrome oder Firefox ein mit aktiven ublock und Ghosteriy so wird angezeigt:
    Beginn:
    jQuery(document).ready(function(){jQuery(“a”).each(function(){var e=jQuery(this);var t=e.attr(“href”);if(t==undefined||t==””)return;var n=t.replace(“http://”,””).replace(“https://”,””);var r=t.split(“.”).reverse();var i=r[0].toLowerCase();var r=t.split(“/”).reverse();var s=r[2];var o=false;if(typeof analyticsFileTypes!=”undefined”){if(jQuery.inArray(i,analyticsFileTypes)!=-1){o=true;e.click(function(){if(analyticsEventTracking==”enabled”){if(analyticsSnippet==”enabled”){_gaq.push([“_trackEvent”,”Downloads”,i.toUpperCase(),t])}else{ga(“send”,”event”,”Downloads”,i.toUpperCase(),t)}}else{if(analyticsSnippet==”enabled”){_gaq.push([“_trackPageview”,analyticsDownloadsPrefix+n])}else{ga(“send”,”pageview”,analyticsDownloadsPrefix+n)}}})}}if(t.match(/^http/)&&!t.match(document.domain)&&o==false){e.click(function(){if(analyticsEventTracking==”enabled”){if(analyticsSnippet==”enabled”){_gaq.push([“_trackEvent”,”Outbound Traffic”,t.match(/:\/\/(.[^/]+)/)[1],t])}else{ga(“send”,”event”,”Outbound Traffic”,t.match(/:\/\/(.[^/]+)/)[1],t)}}else if(analyticsSnippet==”enabled”){_gaq.push([“_trackPageview”,analyticsOutboundPrefix+n])}else{ga(“send”,”pageview”,analyticsOutboundPrefix+n)}})}})})

    ENDE

    Ich war auch vor und während der Feiertage mit IE 11 und den anderen Browsern auf Ihrer Seite und konnte so nichts “Böses” feststellen.
    Es liegt wohl an diesem java-script, der wohl das Ganze verursacht. Ich habe eine Vermutung und muss noch überlegen.
    Grüße

  2. Nobody sagt:

    Ich hatte ja schon immer die Vermutung, dass borncity völlig verseucht ist. ;-)
    Grüße

    • Dekre sagt:

      @Nobody,
      immer langsam mit Satire. Diese ist manchmal schwer zu erkennen. Der GData hat wohl bei dem einen was angezeigt und ich habe dann mal aufgrund des Blogs von unseren lieben Herrn Born mal geguckt, was da ist. Im Prinzip ist nichts.
      Das Ganze stammt wohl von Dritten. Jedenfalls bei mir ist noch nichts aufgeschlagen, was bei borncity.com etwas Böses sein könnte. Das Problem liegt mE woanders.
      Schöne Nach-Weihnachten noch.

  3. Werbung

  4. Datenschuetzer sagt:

    das Problem ist nicht borncity.com – sondern google-analytics wurde korrekt als Malware erkannt.

    Im uebrigen, wo ist eigentlich die Information das der User getracked wird und somit Datenschutzregeln verletzt werden.

    • Günter Born sagt:

      Ich frage mich, was der Kommentar in dieser Form (mit Tatsachen verdrehenden Behauptungen) hier soll? Und dann unter Datenschuetzer und BND-E-Mail-Adresse quasi anonym segelnd …

      Das Thema Datenschutz ist zu wichtig, um auf dieser Ebene abgehandelt zu werden – schade! Ich bin der Letzte, der sich weigert, über das Thema auf sachlicher Ebene nachzudenken. Ansonsten: Geht mal davon aus, dass die Zählung der Webseitenabrufe (nur darum geht es mir) in anonymisierter Form, datenschutzkonform umgesetzt ist.

      Und für die Mitleser hat Pixelkrieger ja mit dem CanvasBlocker ein Add-on genannt, welches das Browser-Fingerprinting verhindert können soll.

  5. Pixelkrieger sagt:

    Wer sich schützen will benutzt das Addon. “NoScript” und wer Fingerprinting auf dieser Seite verhindern möchte den “CanvasBlocker”
    Sicheren Rutsch ins Jahr 2016

  6. Blupp sagt:

    Das kann man halten wie ein Dachdecker. Wer denn unbedingt will kann das Tool seiner Wahl nehmen oder einfach in ABP “||borncity.com/blog/wp-includes/js/comment-reply.min.js?*” als Filterregel einsetzen.
    Das Problem ist aber nicht das Script, wenn jemand die Reichweite seines Blogs kennen will ist das kein Ding und man sollte nicht überreagieren. Auch kann man sich über Datenschutz und über die Qualität mancher Sicherheitslösungen unterhalten.
    Wenn es zum False Positive kommt, dann ist es jedoch schön das der Blogbetreiber darauf hinweist, man ist informiert und kann eine eventuell erscheinende Meldung schneller korrekt einordnen.
    Mir ist es auch schon pasiert das es einen Fehlalarm gab. Vor gut einem Jahr auf meiner ehemaligen Geschäftsdomain, die ich eigentlich nur noch aus sentimentalen Gründen bestehen lasse. Da schrieb mich der Hoster an. Hätte der sich eigentlich sparen können wenn seine (kompetenten?) Leute die Meldung wenigstens überprüft hätten bevor sie an den Kunden gehen.
    Ich finde nur das sich man sich bei den Herstellern von Sicherheitssoftware mehr Gedanken darüber machen könnte welche Schäden durch False Positives so ausgelöst werden können.

  7. RV sagt:

    Was soll das? Habe immer geglaubt, dass hier seriöse User am Werke sind und kein Kindergarten! Wer Born nicht will, der soll’s sein lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.