Když tvůrce webu je s prominutím čuník... => http://viry.cz/go.php?p=viry&t=novinka&id=2644zombux píše:no, jestli myslíš ten falešný poplach u jedné aktualizace Avastu...
Nutno podotknout, že plané/falešné poplachy se tu a tam objevují u všech AV včetně Symantecu, Kaspersky, NODu, Aviry atd....Některé tuzemské servery oběhla zpráva, že avast! (nedávno vydaný ve verzi 5) dnes považoval portály novinky.cz, sport.cz, super.cz za infikované trojanem JS:LoverCrypt-A [Trj] a že tedy produkoval falešný poplach. Skoro bych ale řekl, že to byla zasloužená regulérní detekce...
Za vším stál skript z adresy http://search.sklik.cz/js/script.js, který se na zmíněných serverech používá a v době, kdy ho Avast! detekoval jako JS:LoverCrypt-A [Trj], vypadal přibližně tak, jak ukazuje níže zveřejněný obrázek (pro zkrácení není uveřejněna prostředí, podobně nečitelná pasáž). Nečitelnost je způsobená použitím metody, které se říká "obfuscation". Právě metody "obfuscation" využívají i škodlivé skripty číhající na webových stránkách. Tato metoda znesnadňuje detekci antivirovým produktům a především lze díky ní "mutovat" skript do jiné podoby v každém dalším exempláři. Vývojáři portálu novinky.cz atd. tuto metodu využili k zakrytí skriptů před zvědavci, nicméně použití funkcí substring, split, reverse, join, toLowerCase, replace a pochopitelně i eval nebylo nejvhodnější.
Avastu to tak na portálu novinky.cz nevyšlo, nicméně nelze vyloučit, že již teď zachránil spousty uživatelů, kdy narazil na velice podobně řešené skripty, avšak na ty opravdu škodlivé...
Veliký průšvih byl u jednoho špičkového AV v roce 2007(?), když označil soubor "winlogon.exe" jako vir a kdo měl nastaveno "automaticky mazat", tak měl co dělat, aby své WXP znovu rozběhl....
V ten samý rok měl analogický průšvih další světový špičkový výrobce, když po jedné aktualizaci byl "závadný" soubor "user32.dll"...
Nicméně ve falešných poplaších asi "vede" Comodo AV.
)