23. Dezember 2008

Avast erkennt Text als Virus

Category: Allgemein — Christian @ 13:18

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Avast Mitternachtshacking-Alarm

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 17:30

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.