Hola Estimados.
Tengo un sitio ccc.lamedialuna.cl que tiene algunos años de edad, hace un tiempo a empezado a lanzarme un error diciendo que tiene un troyano.
Este evento sucede al seleccionar un producto para poder visualizarlo con detalles, al momento de iniciar el popup lanza una alarma de troyano.
O puedes buscar ayuda en la seccion de virus and worms donde te pueden asegurar si de verdad es un F/P y es mas rapido que un miembro del equipo de Avast la vean.
Te cuento, son todos los productos de la pagina los que muestran la alerta de troyano al hacer click en la imagen para ver el detalle. Al hacer click el sitio llama a un funcion de javascript que hace una llamada a una funcion de asp que carga los datos solicitados. te pego el trozo de codigo que genera el mensaje.
inicio funcion
if(dato[1] == “1”){
var enProceso = false;
var http = getHTTPObject();
if(!enProceso && http){
var url =“include/asp/funciones.asp?opcion=11&id=”+dato[0]+“&width=”+width;
http.open(“GET”,url, true);
document.getElementById(“frameCargar”).innerHTML = “”;
http.onreadystatechange = function() {
if (http.readyState == 4) {
if (http.status == 200){
document.getElementById(“frameCargar”).innerHTML = http.responseText;
enProceso = false;
}
}
};
enProceso = true;
http.send(null);
}
}
fin funcion
tengo varios sitios mas, y esta funcion la he ocupado en varios de ellos, y no me arroja este error, he agotado todas las posibilidades y lo unico que me queda es pensar que solo Avast lo detecta como potencial troyano. Especificamente el error lo envia en la ultima linea “http.send(null)”
See:
wXw.lamedialuna.cl/include/js/prototype.js benign
[nothing detected] (script) wXw.lamedialuna.cl/include/js/prototype.js
status: (referer=wXw.lamedialuna.cl/)saved 126132 bytes 1703adc185bd3af6e8dec62e343907805fdf342f
info: ActiveXDataObjectsMDAC detected Microsoft.XMLHTTP
info: [script] :
info: [decodingLevel=0] found JavaScript
suspicious
Think it is for the IP IDS alert given as “FILEMAGIC Macromedia Flash data (compressed)”
Misused server according to logs…
Registered socket 9 for persistent reuse…blackhole exploit and malicious injections detected on that Autonomous System
The detection mentioned is for a Blackhole exploit variety…
Nothing here: http://vurldissect.co.uk/default.asp?url=http%3A%2F%2Fwww.lamedialuna.cl&btnvURL=Dissect&selUAStr=1&selServer=1&ref=&cbxLinks=on&cbxSource=on&cbxBlacklist=on
Polonus dice que puede ser por el IP FILEMAGIC Macromedia Flash data comprimido y tambien tiene unos reportes de maluso del socket 9 por uso repetido…con explotaciones de blackholes e injecciones maliciosas en el sistema autonomo.