Bronies.de

Immer zu: 85.25.107.124/images/userbar.png

"URL:Mal"

/info

Nachtrag: Könnten evtl. die Sysinfo-Signatur-Bilder sein.

Ja, es ist das Bild in der Signatur.

Ich habe das schon vor paar Tagen entsprechend angesehen und bin zum Schluss gekommen, dass Avast hier völlig unbegründet eine Warnung anzeigt.

Weder die Bilddatei, noch der dazu generierte Link oder die Webseite, auf die dieser verweist, zeigen irgendwelche Anzeichen einer Vireninfektion. Selbst mehrere unterschiedliche Scans mit den diversen online Scannern sowie das Nachschlagen im WoT (Web of Trust) dieser Webseite liefern keinerlei Anzeichen für Bedenken.

Es ist also ganz klar ein False Positive und somit Fehler von Avast. Kannst ja eventuell beim Kundensupport von Avast einkippen, dass deren Anwendung hier Fehler produziert und zu unrecht eine vollkommen legitime Webseite aussperrt.

dazu habe ich auch schon PN an betroffene User geschickt, deren Signatur die besagte Userbar enthielt. Naja Liber ein falscher Alarm, als gar keiner

Vllt. werden die Bilder ja Just-in-Time generiert?

Wenn ich gerade die Datei/Signatur hätte, würde ich sie wohl bei Virustotal testen.

http://virustotal.com/

(13.07.2015)Killbeat schrieb: [ -> ]dazu habe ich auch schon PN an betroffene User geschickt, deren Signatur die besagte Userbar enthielt. Naja Liber ein falscher Alarm, als gar keiner

Mir wäre deutlich lieber gar keiner in dem Fall. Denn sowas führt jetzt dazu, dass:

a) Die Nutzer sich angewöhnen solche Warnmeldungen zu ignorieren, oder
b) Die Nutzer das entsprechende Browserplugin entfernen

Beides nicht im Sinne des Erfinders. Weil es mich nun interessiert hat, wieso denn angeblich die Seite gefährlich ist, habe ich nun die Spur verfolgt:

http://www.sysprofile.de wird als gefährlich eingestuft, weil der Dienst http://quttera.com die Seite (als einziger aus 63 vergleichbaren Services) als verdächtig einstuft. Warum?

Nun, weil auf eben dieser Seite folgende zwei Seiten referenziert werden:

bilder-upload.de
techpowerup.com

Bewusst verlinke ich die beiden Seiten hier nicht, weil ich diese "tollen" Virenscanner nicht unnötig verwirren will. Jedenfalls wird die Seite sysprofile.de tatsächlich nur deshalb gesperrt, weil sich irgendwo auf der Seite (da ist ein Forum dabei Twilight: No, Really?

) Links auf die obigen zwei Seiten befinden, welche bei Quttera auf einer Blacklist stehen.

Jetzt wird es witzig. Stößt man bei Quttera explizit einen Neuscan besagter Domains an, so liefert dieser (nach ein paar Minuten) ein katastrophales Ergebnis: hunderte von gefährlichen Dateien! :shock:
Sieht man sich dann an, warum die Dateien gefährlich sind, steht dort allerdings als Begründung sinngemäß nur: "Weil die von einer Domain eingebunden werden, die auf der Blacklist steht - und zwar der eigenen." RD laugh

Diese Seiten sind also nur deshalb noch auf der Blacklist, weil sie Dateien einbinden, von Seiten die auf der Blacklist stehen. Clever Girl. Gut nur, dass Quttera direkt anbietet, gegen Bezahlung die "schädlichen Dateien" loszuwerden. Ganz, ganz versteckt gibt es aber ein Formular für die Meldung von false positives. Aber dort wird gewarnt, dass eine Bearbeitung "Tage" dauern wird.

Jupp, neue Goldgräberstimmung im Internet. Bezahl mich, sonst blackliste ich dich. Und andere Sicherheitsdienste wie Antivirensoftware glauben mir einfach, dass ich schon nicht lüge, und blacklisten dich dann auch. Was wieder andere dazu bringt usw. usw. Alle angeblichen Reports von Sicherheitsproblemen lassen sich auf diesen Dienst "Quttera" direkt oder indirekt zurückführen, btw.

Ich werde betreffende Seiten nun dort als false positive einmelden, erwarte mir aber nicht, dass irgendwas passiert. Schließlich bezahle ich nicht dafür. Twilight happy

EDIT: Hier mein kleines Beschwerdesupportticket, das ich soeben dort eröffnet habe:

Spoiler (Öffnen)

Hello.

The website "sysprofile.de" and or "www.sysprofile.de", "logos.sysprofile.de" etc. are considered malware by your software (according to virustotal).

However, these site only reference other sites that are on your blacklist, namely "http://www.bilder-upload.eu" and "http://www.techpowerup.com". The site itself is completely clean, no scanner finds any potentially dangerous file on them.

Now I would say it is ok to mark the site as "suspicious" for referencing those other sites, but you declare it to be "malicious" (according to virus total), which is imho not the same thing. But anyway, I also checked out those two other sites, which you have blacklisted (again, you are the only service who blacklists those urls currently).

Both sites are clean in all scanners that I could find. Even your scanner seems to not be able to find anything wrong with them, except for the fact that you already blacklisted them. E.g. a scan of http://www.techpowerup.com reveals 112 malicious files, but the reason why they are considered malicious is because the site is blacklisted by you. This circular logic doesn't look right and I think it is a bug in your software. How could a site ever pass a scan after it has been blacklisted at some time in history? Wouldn't it make more sense to reduce the verdict to at least "suspicious" if a followup scan no longer reveals any actual malicious files? It would make a lot of sense to ignore the "site is blacklisted"-property of referenced files from the same domain.

Well, these are my thoughts about your service and your systems verdicts about websites.

In short, I'd really like it if you could rescan http://www.techpowerup.com and http://www.bilder-upload.eu and manually check the results (as it seems those domains do not host any malware at all currently), or at least reduce the verdict on sysprofile.de to "Suspicious site", because that would better reflect the actual "threat level" that comes from sites who merely reference other sites who at some point may have hosted malware.

Thanks for listening and have a nice day.

Wow, Respekt!

Aber wie hast du das Ganze egtl. aufgerollt?

Alle derartigen Plugins wie das von Avast scannen natürlich die betreffenden Webseiten nicht selbst direkt (derartige Scans benötigen einiges an Zeit und Bandbreite), sondern berufen sich auf bestehende Bewertungen eigener oder anderer Dienste.

Der wohl populärste Dienst diesbezüglich ist virustotal.com, welcher die mMn. umfangreichste Bewertung einer Webseite liefert, mit eben derzeit 63 unterschiedlichen Bewertungsquellen für die Legitimität und Sicherheit von Webseiten. Dort findet sich eben nur Quttera als Kritiker der betroffenen Webseite sysprofile.de, die von dem Avast Plugin als schädlich bezeichnet wird. Avast führt selbst keinerlei solche Scans von Webseiten aus (soweit mir bekannt), also ist der Rückschluss, dass sich das Plugin entweder auf virustotal.com (wie viele andere derartige Produkte) oder sogar auf quttera.com direkt beruft, durchaus plausibel.

Von dort an ist es tatsächlich nur noch ein Verfolgen der entsprechenden "Quellen" von Bewertungen und erneutes scannen lassen durch besagte Quellen, um den tatsächlichen Ursprung einer negativen Bewertung einer Webseite zu finden. Twilight happy

Leutnant hat mir das auch in FF.de geschrieben, dass bei ihm in meinem FF-Thread zu Dash Hard 2 sein Avast sich gemeldet hat. Ist es bei jedem anderen so?

Ist es das Bild in meiner Sig? Ich hab das Bild gescannt, aber keine Ergebnisse.

Ist denn nur das Bild ein Problem? Ich hab das jetzt mal kopiert und wo anders gehostet. Oder ist auch die Verlinkung auf die Seite für Avast ein Problem? Wusste nicht, dass so ein Bildchen so viel Arbeit machen kann.

Es kann nur die Verlinkung sein. Da quttera die Seite (fälschlicherweise) als gefährlich einstuft.

Im Startpost war eben nur von der userbar.png die Rede, daher hab ich ja gefragt, ob es immer noch Meldungen gibt. Jetzt handelt es sich ja nur noch um einen Link zu sysprofile und es wird nichts von deren Server eingebunden.

Nach Evenprimes Beitrag scheint es der Link zu sein.

AJ hmm

Nicht das Bild selbst. Aber wenn es auf sysprofile gehostet ist, schon.

Denn dann ruft der Browser das Bild von eben diesem Server ab, der unter Avast! eben blockiert ist.

Ich habe nun Feedback von quttera bekommen, dass die Seiten angeblich jetzt nicht mehr als gefährlich eingestuft werden.

PS: von virustotal.com habe ich mir nun ebenfalls Bestätigung per Neuscan geholt. Da ich davon ausgehe, dass sich Avast auf min. einen dieser Dienste stützt, sollte auch dort die Meldung bald verschwinden imho.

Basinator

Evenprime

Killbeat

Basinator

Evenprime

Basinator

Evenprime

JP Hyper

Conqi

JP Hyper

Conqi

JP Hyper

Basinator

Evenprime