BLOGS
Blog 404 – Not Found! Blog 404 – Not Found!

No prometemos que vayas a encontrar lo que te gusta,pero esperamos que te guste lo que vas a encontrar.

Troyano en 20minutos.es

Ayer sufrimos en 20minutos.es una de esas cosas curiosas de la tecnología: entrabas en cualquier página de 20minutos.es y nuestro antivirus daba un aviso de detección de uso de un exploit de Internet Explorer. Exactamente mostraba una alerta de JS/Exploit-BO. En Firefox, por supuesto, no pasaba.

Extrañeza suma para todos nosotros en el departamento ya que precisamente ayer no se había subido nada a producción en la web.

El antivirus que utilizamos corporativo es el VirusScan Enterprise de McAfee. Además también nos habían llegado correos de muchos de vosotros comentándonos tal circunstancia y siempre haciendo referencia al mismo antivirus: otros antivirus del mercado no detectaban nada.

Después de hacer muchas pruebas en el entorno de pruebas que tenemos (y en el cual también reproducíamos la alerta del antivirus) vimos lo que había ocurrido: nuestros amigos de McAfee habían mandado ayer día 2 de enero una nueva actualización del antivirus (el scanengine 5200) y en esa actualización una de las librerías de javascript que utilizamos le coincidía con algún patrón y le saltaba como posible positivo.

Resulta que la librería en cuestión es la famosa librería de javascript JQuery que tanta gente usa en sus páginas. En nuestro caso usamos una versión algo más antigua que la última (la 1.1.2) y la usamos ofuscada para hacer que la descarga ocupe menos.

No sólo nuestra página aparecería a la vista de cualquier antivirus de McAfee como posible alojadora de un script que intentaba aprovechar un Exploit del Internet Explorer sino que miles de páginas que usan esta librería ofuscada también aparecerían como potencialmente peligrosas.

Todo esto que os contamos aquí son 3 horas de pruebas, investigación y solución del problema por algo que alguien en su pueblo ha decidido meter en una actualización de un antivirus: finalmente pusimos la misma librería pero sin ofuscar. Ahora estamos trabajando en ver la compatibilidad de la nueva versión para ver si es posible volverla a usar ofuscada. También daremos aviso a McAfee del falso positivo.

¿No da un poco de miedo el poder que tienen estas empresas tan extendidas para decidir que contenidos son buenos o malos o que contenidos son potencialmente peligrosos?

Imaginad que al mismo colega de McAfee se le ocurre decir que todo javascript que tenga una “a” sea considerado peligrosos o que toda URL que tenga la palabra microsoft es potencialmente peligrosa… la que se liaría, ¿verdad?

50 comentarios

  1. Dice ser Maroto

    Tendrían que hacer un virus que esclavizase a todo el que utiliza explorer.Da gusto con las empresas de antivirus, que hacen que tengas necesidad de sus productos misteriosamente y que tengas que actualizar cada 2 por 3.Firefox powah!

    30 Noviembre -0001 | 00:00

  2. Dice ser Desconocido

    Antivirus malos!

    30 Noviembre -0001 | 00:00

  3. Dice ser mari

    ok.

    30 Noviembre -0001 | 00:00

  4. Dice ser Sheldon

    El mayor virus son los propios antivirus. ¿Alguien se ha fijado lo dificiles que son de desinstalar completamente? Siempre te dejan algo

    03 Enero 2008 | 13:19

  5. Dice ser pedro paco

    No me extraña que identifique el 20minutos como un virus..

    03 Enero 2008 | 13:26

  6. Dice ser Enrique

    McAfee de lo peorcito. Utilizad otro como Nod32 o Kapersky.

    03 Enero 2008 | 13:27

  7. Dice ser aaa

    Y yo me pregunto.¿Que tiene que ver ofuscar con que ocupe menos? No se ofusca para hacer que pese menos, sino para ocultar su funcionalidad.

    03 Enero 2008 | 13:34

  8. Dice ser PC

    “Imaginaros”?Coged un diccionario

    03 Enero 2008 | 13:36

  9. Dice ser ccc

    Ha sido un error de McAfee, ya lo han solucionado, se introdujo una firma erronea en la base de datos y saltaron las alarmas de cientos de sitios web. Teoricamente si actualizais el antivirus hoy y volveis a ofuscar la JQuery, no saltará ninguna alarma.

    03 Enero 2008 | 13:41

  10. Dice ser pp

    Vosotros si que sois unos “ofuscados” que no sabeis lo que haceis

    03 Enero 2008 | 13:43

  11. Dice ser Persona

    “¿No da un poco de miedo el poder que tienen estas empresas tan extendidas para decidir que contenidos son buenos o malos o que contenidos son potencialmente peligrosos?”Da exactamente el mismo “miedo” que da saber que en cierto diario digital, hay un mal parido que puede decidir, en cualquier momento, qué comentario es digno o no de aparecer.El mismo.

    03 Enero 2008 | 13:47

  12. Dice ser juas

    Si usaséis Mac no tendríais que utilizar ningún antivirus. Me adhiero al comentario de Persona, el anterior al mío.

    03 Enero 2008 | 14:02

  13. Dice ser Folto

    Pues anda que dejaros infectar por un virus del año 2005… xDDD

    03 Enero 2008 | 14:03

  14. Dice ser Antonio

    Pues siento comunicar que aún sigue pasando, porque al abrir vuestra página hace un par de minutos, me ha aparecido otra vez el dichoso mensaje.Lo que si es cierto, es que debe ser problema del McAfee, porque también ocurre al entrar en otras páginas distintas.Saludos.

    03 Enero 2008 | 14:11

  15. Dice ser luis

    Tu no eres ni imformatico ni escritor:”…javascript JQuery que tanta gente usa en sus páginas. En nuestro caso usamos una versión algo más antigua que la última (la 1.1.2) y la usamos ofuscada para hacer que la descarga ocupe menos.”Todo esto que os contamos aquí son 3 horas de pruebas, investigación y solución del problema por algo que alguien en su pueblo ha decidido meter en una actualización de un antivirus: finalmente pusimos la misma librería pero sin ofuscar.”Vaya por dios, apaga y vamonos.

    03 Enero 2008 | 14:12

  16. Dice ser porkopek

    Anda, ahora resulta que los de McAfee detectan, aparte de virus, periódicos que no deberían recibir el nombre de tales. Mientras 20 minutos siga con su estilo al redactar titulares, al cometer tantas y tan grandes faltas de ortografía y al desinformar a la población, me parece bien que sea considerado un virus. BRAVO POR LA HEURÍSTICA que ha logrado detectar la pésima información que este diario proporciona. Por lo menos usad el corrector de Word.

    03 Enero 2008 | 14:23

  17. Dice ser Livingstone

    En resumidas cuentas… QUE PILLATEI UN SANNASSO DEL 15 hahah

    03 Enero 2008 | 14:25

  18. Dice ser antitroyano

    Si los Troyanos ya los tenéis en 2o minutos desde hace mucho.Si os parece poco virus el “publico” que os sigue y construye la “opinión” en vuestros foros, post y comentarios. La crem de la crem, fascistas a tope, reaccionarios a más no poder, racistas hasta apestar…Y eso sin hablar del tratamiento informativo que dais a las noticias, un cierto tufillo sesgador en la linea de los lectores “tipo” antes mencionados.Os ganasteis en su momento cierta simpatía, sobre todo de la gente más joven, con el tema de la vivienda, pero como tratáis el asunto de trabajo, huelgas, etc., me parece que estáis perdiendo muchos puntos.En fin, a ver lo que dura este post, si es que sale publicado

    03 Enero 2008 | 14:28

  19. Dice ser prohibido prohibir

    ¿Y el censor no tiene Blog? ¿No me diréis que no hay un departamento de censura?, no me lo creería.

    03 Enero 2008 | 14:34

  20. Dice ser jeje

    es increible que alguien pueda publicar este tipo de noticias en un blog oficial de un periodico … q bajo es el nivel de 20 minutos (este y el del eZcritor son pateticos)Por cierto, he ofuscado mi disco rigido para que ocupe menos espacio y mi chica esta ofuscando un poco de ropa de verano para que pueda entrar mejor en el trastero.Saludosa ver cuanto tiempo dura este post.

    03 Enero 2008 | 14:38

  21. Dice ser pepito piscinas

    Si,si, yo lo ví. Debió ser el troyano ese de las faltas de ortografía. como la del “eXpectacular” incendio en Londres

    03 Enero 2008 | 14:42

  22. Dice ser Transparencia

    Pues os está bien empleado, por ofuscar cosas.

    03 Enero 2008 | 14:44

  23. Dice ser Puaj

    Qué patético.Si este tipo es el responsable de informática, vamos aviaos. Ahora resulta que ofuscar el código sirve para que ocupe menos…Símplemente lamentable.Ofuscar sirve para que sea “ilegible” por personas humanas.Otra cosa es que lo hayan “comprimido” (así, entre comillas) sin pasarle ningún algoritmo de compresión propiamente dicho, sino quitándole el máximo de espacios, tabulaciones, comentarios, reduciendo los nombres de variables a la mínima expresión, etc. Eso y ofuscar son cosas diferentes.Por cierto, JQuery (podéis actualizar sin miedo la versión; de todas formas, gracias por avisarnos de que usáis una versión obsoleta y llena de “bugs” hackeables) viene tanto “comprimida” con este sistema como comprimieda “de verdad” con gzip (con esta se ahora bastante más, pero no me extrañaría que vuestro patético servidor no lo admitiera), además de en versión “normal”.Por último… De los múltiples errores ortográficos y gramaticales que he tenido que leer aquí, el que más me jode es el de “librerías”. Librería es un lugar donde se venden libros. Supongo que te estarás refiriendo a BIBLIOTECA, conjunto de funciones o métodos que se usan en programación.

    03 Enero 2008 | 14:48

  24. Dice ser jeje

    Puaj … pero es que tu no sabes ingles !!!”library” se traduce textualmente a “librería” … jamas sería biblioteca, jamas !!!típico error de iniciado en informática, el problema es que mucha gente lo escucha, lo repite y jamas piensa en lo que dice; ahi tienes la medida de donde está puesto el listonSaludos

    03 Enero 2008 | 14:54

  25. Dice ser McAfee que mierda de antivirus

    ¿¿ Quien es el que ha tenido la magnifica idea de usar como antivirus a McAfee ?? Mis aplausos para el o la responsable ; )

    03 Enero 2008 | 15:18

  26. Dice ser Eddy

    Pues el Avira me ha bloqueado un .tmp del programa de 20 minutos por querer ejecutarse… Coincidencia en el tiempo, ciertamente… o no?

    03 Enero 2008 | 15:19

  27. Dice ser Pobrecito hablador

    La versión de JQuery utilizada estaba ofuscada y comprimida, de ahí que comentemos que lo utilizamos para disminuir el tráfico (aunque fue un error indicar que esa característica es propia de la ofuscación).Un saludo!

    03 Enero 2008 | 15:37

  28. Dice ser El Rey Juankart

    HESTO NO SE BE VIEN CON LINUCS

    03 Enero 2008 | 16:01

  29. Dice ser twipsy

    utilizad el kaspersky o el nod 32. ademas a mi no me salio ningun aviso de virus en todo el dia, de hecho no tengo ninguna infeccion desde hace meses

    03 Enero 2008 | 16:07

  30. Dice ser Puaj the only one

    ” jeje” No utilizes mi santo nombre en vano …Acerca de la noticia: 20minutos EN SI ES UN VIRUS y como de tecnologia no se mucho de este blog no puedo opinar pero varios BLOGS COMOCARLOTA LA FRACASADA DE 30MARTA CIBELINA LA IDIOTA K NO HACE MAS K LAMER MONARCASY ni k hablar de uno k han mencionado mas arriba DAN ASCO …NO POSTEARE MASEN LAS NOTICIAS XK ESTOY HARTA DE LA CENSURA ARBITRARIA K SE VIENEDANDO DESDE HACE MUCHO … pero los blogs y los foros kedan fuera asi k seguire molestando x estos lares.

    03 Enero 2008 | 16:18

  31. Dice ser mari

    Hombre, Puaj the only one, si te dedicas a criticar el trabajo de los demás, que menos que escribas correctamente y que se te entienda: “NO POSTEARE MASEN LAS NOTICIAS XK ESTOY HARTA DE LA CENSURA ARBITRARIA K SE VIENEDANDO DESDE HACE MUCHO”. Deja de escribir como los de la ESO, a no ser que no sepas expresarte adecuadamente, claro.Y no me extraña que se censure a la gente que solo viene a molestar como dices textualmente en tu post. Sois los que empobreceis a los peridicos digitales, sin crear foro de opinión, como bien has dicho, solo venís a eso: A MOLESTAR.

    03 Enero 2008 | 16:42

  32. Dice ser skellington

    No discuto la calidad de este periodico digital, lo que si es digno de mencion es la cantidad de gente que tan solo entra para despotricar.Quien no quiera polvo, que no vaya a la era.

    03 Enero 2008 | 17:27

  33. Dice ser Muy Incorrecto

    Menuda virulencia en los comentarios, algunos de ellos totalmente descarriados.Alguno por ahí sugiere que “si utilizáseis Mac, no tendríais que utilizar antivirus”. Pero vamos a ver, ¿que tendrán que ver los equipos de la oficina de 20 minutos con la alarma de McAfee? Esta alarma da a cualquier usuario de Internet que se descarge cualquier página web que contenga la biblioteca (sí, se puede decir biblioteca perfectamente) de JQuery ofuscada, ¡¡no tiene nada que ver con los equipos de escritorio de ninguna oficina en particular!!Y sí, al ofuscar, una de las primeras acciones es eliminar los saltos de línea, especios en blanco y comentarios al código, con lo que sí, se reduce drásticamente el tamaño del fichero Javascript.¡Qué rápidamente se insulta de forma gratuita trás una pantalla y un teclado anónimos!

    03 Enero 2008 | 17:40

  34. Dice ser Malos informáticos

    jaaaaaaaaaaaaaaa sois unos putos ignorantes los de sistemas de este diario ja ja ja

    03 Enero 2008 | 17:51

  35. Dice ser Betty

    Dos cosas:1ª Usad un antivirus mejor que no de falsos positivos.2º Los antivirus son como los terroristas: te exigen que pagues para que tu ordenador no sufra un atentado producido por esos programas que ellos mismos fabrican.

    03 Enero 2008 | 19:14

  36. Dice ser Puaj

    Un par de comentarios:- Yo no soy “Puaj the only one”… Yo soy “Puaj” a secas. No sé quien es esa persona que intenta suplantarme en este periódico, pero bueno, en cualquier caso es posterior a mí y el nick lo tengo yo registrado. Por cierto, esa persona me deja en muy mal lugar porque escribe como el culo.- La traducción informática de “library” es “biblioteca”. Que algún gilipollas lo tradujese mal y se extendiera así no es mi culpa. Soy ingeniero informático y sé lo que me digo. Y se me da muy bien el inglés. De hecho, los que lo traducen como “librería” es porque lo cogen como “falso amigo”, típico error de ignorantes. Pero por si no os lo creéis, buscad “biblioteca” y “librería” en el diccionario de la RAE. No viene con la acepción informática en ninguno de los dos casos, pero la que más se le parece, sin duda, y análoga a la de “colección de algoritmos” es esta acepción de BIBLIOTECA:”Colección de libros o tratados análogos o semejantes entre sí, ya por las materias de que tratan, ya por la época y nación o autores a que pertenecen”Por último, Muy incorrecto dice:”Y sí, al ofuscar, una de las primeras acciones es eliminar los saltos de línea, especios en blanco y comentarios al código, con lo que sí, se reduce drásticamente el tamaño del fichero Javascript.”Ofuscar puede tener mucho que ver o nada que ver con comprimir. La compresión puede ser un efecto de ofuscar, pero también puede ser todo lo contrario. De hecho, en el enlace a la Wikipedia que ha puesto el blogero, los únicos efectos de la ofuscación que aparecen son los contrarios (ahí verás si tiene mala pata), es decir, cosas como(((!(int_-int_)<equivalen a 10.Por lo tanto, sí, es incorrecto. Ofuscar es una cosa. Y comprimir a base de quitar espacios en blanco, retornos de carro y acortar nombres de variables NO es ofuscar.

    03 Enero 2008 | 20:59

  37. Dice ser F.J.

    Está claro que la traducción de library por librería es incorrecta; lo correcto es biblioteca. Pero, hombre, está tan extendido el uso de librería en informática, que tampoco hay que ponerse más papistas que el papa.El tema es que estos chicos seguro que han perdido un buen rato tratando de solucionar un problema que ha provocado un error de una tercera empresa, y eso es lo que tiene que dar que pensar.

    03 Enero 2008 | 22:14

  38. Dice ser ear

    en vez de hacer chorradas podíais arreglar el javascript de paginación del foro que se pega de guantazos con firefox y se encasquilla. Si usárais el standard de css en vez de tanta mierdecilla de javascripts para ahorraros trabajo en maquetación otro gallo cantaría.

    03 Enero 2008 | 23:26

  39. Dice ser sentido aracnido

    mientes, amigotodo el mundo sabe -m…- q 20minutos es la poli

    03 Enero 2008 | 23:57

  40. Dice ser ofuscado

    me estoy ofuscando.

    04 Enero 2008 | 01:57

  41. Dice ser ccc

    Que mal ambiente el que hay aqui!! D

    04 Enero 2008 | 03:22

  42. Dice ser luis

    Joder, son bibliotecas y no librerias.El termino correcto es BIBLIOTECA.Que parece ser que todavia hay gente que no se ha enterado, hostia.

    04 Enero 2008 | 08:41

  43. Dice ser Puaj the only one

    A ver … YO NUNCA SUPLANTE A NADIE… puaj .. a ti solo te conocen x CRITICAR LA GRAMATICA Y ORTOGRAFIA DE TODOS … SI SOY MAS CONOCIDA K TU NO ESMI PROBLEMAMari .. vete a la MIERDA, xk para dar una opinion primero debes saber el contexto en la k se encuadra la misma caso contrario CIERRA EL PICO… la censura arbitraria en 20minutos es importante si a ti no te importa A MUCHOS SI

    04 Enero 2008 | 12:44

  44. Dice ser mari

    Puag de only one, no quiero entrar en tu juego. Sólo con tus palabras has quedado en el lugar que debes.Saludos.

    04 Enero 2008 | 14:11

  45. Dice ser Juanjo

    Pues yo también soy Ing. Informático y yo, mis colegas, mis profesores, mis compañeros… hemos usado toda la p*** vida “librería”. Mal traducido del inglés, sí, pero ¿y qué?Pónganse a programar y dejense de estupideces. O mejor, pidan una silla en la RAE; quizás tengan más futuro.Ya pueden analizar sintacticamente mi comentario, paletos.PD: al blogger: a seguir así, muy interesante todo lo que cuentan 😉

    04 Enero 2008 | 15:18

  46. Dice ser museo8bits

    No es cosa sólo del periódico. En Kriptópolis :http://www.kriptopolis.org/node/5446y usuarios de Drupal se han visto afectados por lo mismo.

    04 Enero 2008 | 16:49

  47. Dice ser Puaj the only one

    Mari kien comenzo atacando has sido tu .. ESTOY HARTA DE LOS K SE PONEN UNA VENDA EN LOS OJOS CUANDO LES CONVIENE EN 20MINUTOS. Si no tienes idea DEL GRAN PROBLEMA K HAY EN EL SITE sigue opinando de procesadores y otras cosas … pero NO TE METAS CON LOS FORISTAS.. postee aki xk es un blog DE 20MINUTOS K SE SUPONE ALGUIEN DE LA REDACCION LEERAYo no estaba haciendo ningun juego

    04 Enero 2008 | 18:52

  48. Dice ser candos

    Estoy hasta el gorro, que los anuncios de perfumes, generalmente ,esten en ingles o frances es que en cualquiera de los idiomas que hay en nuestro pais no serian igual de interesantes.

    08 Enero 2008 | 20:37

  49. Dice ser Carlos

    alerta con antiv. mc cafee

    04 Febrero 2008 | 14:12

  50. Dice ser pimbo

    Se ofusca para ocultar su funcionalidad y también para ocupar menos espacio si dicha ofuscación elimina espacios en blanco (doy por echo que sabeis que los espacios en blanco también suman tamaño ¿no?)Anda que Dios os ampare a algunos!! XDSaludos.

    11 Febrero 2008 | 20:11

Los comentarios están cerrados.