Contao Erweiterungsseite: Kaspersky meldet Trojanisches Programm

**okapi** · 29.03.2012, 13:32

Beim Aufruf der Contao Erweiterungsseite erhalte ich seit heute von Kaspersky Anti Virus die Meldung über ein Trojanisches Programm und der Zugriff wird blockiert.

Code:

Die Datei: http://www.contao.org/de/extension-list.html//extension-list//JIM	Zugriff blockiert

Gruß
Michael

**BugBuster** · 29.03.2012, 15:52

Irgendwas mit HEUR:Trojan-Downloader.Script.Generic ? Ist per Heuristik ermittelt und einfach mal falsch. Wie so oft bei der Heuristik Methode.
Schau mal ob es schon ein Signatur Udate gibt.

**Thomas** · 29.03.2012, 16:24

Kaspersky ist auch eines der nervigsten Programme schlecht hin!
Sorry, klein und handlich ist was anderes und belastet unnötig Systemressourcen.

Mein Wächter meldet überhaupt nichts, auch Firefox meldet nichts, bei Google ist auch nichts zu finden.
Ich denke auch mal, dass Kaspersky da wieder Dinge sieht, die nicht vorhanden sind.

Hattest Du eine Erweiterung gewählt?
Vielleicht findet sich dann da was, obgleich ich es nicht annehme.

***lucina*** · 29.03.2012, 16:42

Das liegt nicht an gewählten Extensions, sondern an der Heuristik von Kaspersky. Hab die Meldung auch gesehen,im Quelltext nichts entdecken können & es nach Moskau gemeldet.

Keine Panik, und bitte auch kein Antivirus 'meins- ist- aber- besser'-Bashing, bitte.

**okapi** · 30.03.2012, 14:06

Den Grund für diese Meldung zu erfahren, wäre doch eigentlich interessant. Welches Skript ist es denn, oder könnte es denn sein, das den Mechanismus der Heuristik von Kaspersky auslöst?

Unabhängig davon, wie man Kaspersky bewertet, nicht nur für potentielle Kunden ist die Warnung wenig vertrauensfördernd. Die werden vielleicht nicht damit zufrieden sein, wenn man ihnen sagt, sie sollen das Anti-Virus-Programm wechseln, wenn sie die Trojaner-Meldung stört...

Gruß
Michael

**RainerG** · 30.03.2012, 17:21

Ich bekomme eine Meldung vom Kaspersky dass hinter dem Link unflätiges liegt:

Code:

Im angeforderten Objekt unter der URL-Adresse:

http://www.contao.org/de/extension-list/view/pagelayout_bz.10009.de.html

Wurde eine Bedrohung gefunden:

Das Objekt ist infiziert mit: HEUR:Trojan-Downloader.Script.Generic

**cliffparnitzky** · 30.03.2012, 17:35

Zitat von RainerG

Ich bekomme eine Meldung vom Kaspersky dass hinter dem Link unflätiges liegt:

Jaja, Kaspersky ... https://www.contao-community.de/show...sches-Programm

Gruß, Cliff

**okapi** · 30.03.2012, 20:33

Zitat von cliffen

Jaja, Kaspersky ... https://www.contao-community.de/show...sches-Programm

Gruß, Cliff

Was für eine Antwort... Kaspersky hin oder her, das ist doch keine Sache, die man einfach ignorieren kann. Ich versteh diese und die anderen coolen Reaktionen (im verlinkten Thread) nicht ganz. Nur weil ein paar Leute nicht benruhigt sind, kann man's doch nicht einfach ignorieren. Genau wie RainerG werden sich vielleicht auch Andere (vielleicht Kunden?), die Kaspersky nutzen, die Frage stellen, was da los ist.
Soll ja auch vorkommen, dass Seiten gehackt werden... Da waren schon ganz andere dran als Contao.

Ich denke, man soll das ernst nehmen und Abhilfe schaffen.

Gruß
Michael

**BugBuster** · 30.03.2012, 20:53

Hast du auch ne Ahnung wie? Die Heuristik ist nur mal ne unscharfe Sache, und da der Quellcode nicht offen ist, wird wohl kaum jemand rausbekommen was an dieser Seite als Trojaner verkannt wird. (vermutlich irgendein Javscript Teil)

Das ist genauso wie an anderer bekannter Virenscanner der jede Datei die mit dem Exepacker UPX gepackt ist formal als Trojaner einstuft, nur weil einige damit mal gepackt wurden.

Zum anderen hat Leo schon per Twitter veröffentlicht, das dort kein Trojaner vorhanden ist. Ein Nachricht an Kaspersky selbst ist auch gegangen deswegen.

**okapi** · 30.03.2012, 21:35

Ich verstehe dich, aber was wäre denn, wenn eine Standard-Contao-Installation diese Meldung erzeugen würde? Wären dann auch alle so entspannt und würden auf Moskau warten?...

Gruß
Michael

**melzebub** · 30.03.2012, 21:58

ich verstehe das problem, aber können wir den teil in ein anderes forum verschieben? Danke

[Moderation: Gute Idee. Die betreffenden Beiträge wurden jetzt hierher verschoben.]

**BugBuster** · 30.03.2012, 22:23

Zitat von okapi

Ich verstehe dich, aber was wäre denn, wenn eine Standard-Contao-Installation diese Meldung erzeugen würde? Wären dann auch alle so entspannt und würden auf Moskau warten?...

Spekulation bringt nichts.
Würde mich persöhnlich, wenn ich weiß das ein ein false-positive ist, auch kaum beunruhigen.
Vielleicht würde ich ne Meldung einblenden und drauf hinweisen.
Aber, wer glaubt mir? Diejenigen die keine Ahnung haben, glauben garantiert dem Scanner. Mühe umsonst.

Sicherlich würde man versuchen den Source Code zu finden der den Scanner nervös macht, aber wie gesagt, dass stelle ich mir sehr mühsam vor.
Stell dir mal vor das wäre was mitten in der mootools-core / more Library, viel Spaß beim Suchen.

Ich wüste auch nicht, warum ich mich auf meiner Seite darum kümmern muss, dass ein Scanner ein Fehler hat und Mist anzeigt.

**andreasisaak** · 31.03.2012, 01:47

Könnten wir bitte aufhören mit der Panikmache? Ich bekomme von unseren Kunden schon zu hören das Contao Viren verbreitet und muss mich für den Bockmist des Virenscanners entschuldigen und rechtfertigen.

Wer hat hier gute Kenntnisse von der Heuristik und Verfahrensweise eines Virenscanners? Richtig, niemand!!!! Und solange vertrauen wir Leo Feyer, denn der wird es wissen weil das ER auf seinem Server liegt.

**magicsepp** · 01.04.2012, 08:36

unter Web Anti-Virus Einstellungen http://www.contao.org als Vertrauenswürdig hinzufügen und schon ist der Spuk vorbei

***lucina*** · 01.04.2012, 10:45

Aus meiner Post:

Return-path: <newvirus@kaspersky.com>
Delivery-date: Sun, 01 Apr 2012 11:35:17 +0200
Received: from mi004.mc1.hosteurope.de ([80.237.138.251])
by wp104.webpack.hosteurope.de running ExIM with esmtp
id 1SEHBt-00082t-Ux; Sun, 01 Apr 2012 11:35:17 +0200
Received: from relay3.kaspersky-labs.com ([91.103.66.246])
by mx0.webpack.hosteurope.de (mi004.mc1.hosteurope.de) with esmtp
id 1SEHBs-00043r-3l
for ck@kikmedia.de; Sun, 01 Apr 2012 11:35:17 +0200
Received: from relay3.kaspersky-labs.com (localhost [127.0.0.1])
by mx3.kaspersky-labs.com (Postfix) with ESMTP id 484454021629
for <ck@kikmedia.de>; Sun, 1 Apr 2012 13:35:15 +0400 (MSK)
Received: from kas30pipe.localhost (localhost [127.0.0.1])
by mx3.kaspersky-labs.com (Postfix) with ESMTP id 04F2C40216B0
for <ck@kikmedia.de>; Sun, 1 Apr 2012 13:35:15 +0400 (MSK)
Received: by relay3.kaspersky-labs.com (Postfix, from userid 230)
id F0A7040216AF; Sun, 1 Apr 2012 13:35:14 +0400 (MSK)
Received: from mail-hq.kaspersky.com (unknown [91.103.66.205])
(using TLSv1 with cipher RC4-MD5 (128/128 bits))
(Client CN "mail-hq.kaspersky.com", Issuer "KasperskyLabsThirdCA" (verified OK))
by mailhub3.kaspersky-labs.com (Postfix) with ESMTPS id D782A40216AB
for <ck@kikmedia.de>; Sun, 1 Apr 2012 13:35:14 +0400 (MSK)
Received: from BB-SERVICE.avp.ru (10.65.61.254) by mail.avp.ru (91.103.64.73)
with Microsoft SMTP Server id 8.3.213.0; Sun, 1 Apr 2012 13:35:12 +0400
X-Sender: newvirus@kaspersky.com
X-Receiver: ck@kikmedia.de
MIME-Version: 1.0
From: <newvirus@kaspersky.com>
To: <ck@kikmedia.de>
Date: Sun, 1 Apr 2012 13:34:50 +0400
Subject: RE: [VirLabSRF][False alarm on a web resource][M:1][LN:EN][L:0]
[KLAN-264545913]
================================================== ======
Hello,

Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.

Regards, Valentin Pashkov
Virus Analyst

**lex83** · 01.04.2012, 14:46

Hallo liebe Contao-Benutzer.
Vielleicht kann das jemand auch verifizieren (sollte nur jemand machen, der eine Sicherheitssoftware hat).

Mein Kaspersky Internet Security 2012 zeigt seit dem Wochenende eine Troianerwarnung an und blockiert den Zugriff auf "Contao.de" -> "Erweitern"->"Erweiterungsliste". Auch über google (suche nach Erweiterungen).
Normalerweise lag das Programm in der Vergangenheit immer richtig mit solchen Meldungen.

Hat jemand ein anderes Internet Secutity Programm und hat auch das Problem?
Ist wirklich erst seit (denke ich) dem Wochenende.
Bin sonst ein bis zwei mal die Woche in der Erweiterungsliste. Ohne Probleme.

**BugBuster** · 01.04.2012, 14:51

https://www.contao-community.de/show...l=1#post193799

Zu Deutsch: Fehler von Kaspersky.

**madie** · 04.04.2012, 14:57

Hallo,
in unserer Firma ist es auch nicht mehr möglich, die Contao-Erweiterungsliste zu besuchen,

wir setzen Kaspersky Business Space Security ein.

Es wurde erwähnt das der Fehler bereits Kaspersky gemeldet wurde und es im nächsten Update funktionieren sollte.
Es funktioniert aber schon fast eine Woche nicht mehr und wir dürfen diese Meldung auch nicht ignorieren.

War sonst regelmäßig auf der Webseite der Erweiterungsliste. Ohne Probleme.

Fehlermeldung:
Endpoint Security 8 für Windows
Zugriff verweigert
Die angeforderte Webseite kann nicht geöffnet werden.

Im angeforderten Objekt unter der Adresse

http://www.contao.org/de/extension-list.html

Bedrohung erkannt:

Das Objekt ist infiziert mit HEUR:Trojan-Downloader.Script.Generic

**BugBuster** · 04.04.2012, 15:30

Dann wende Dich mit dem Problem an Kaspersky. Aus Contao Sicht gibt es da nichts zu tun was nicht schon getan wäre.

**okapi** · 04.04.2012, 15:46

@madie

Wenn du diesen Thread aufmerksam gelesen hast, solltest du eigentlich genug Information haben. Es handelt sich um einen Fehler von Kaspersky, und es wurde bereits versprochen, diesen zu beheben (siehe oben).

Gruß
Michael