Falso positivo de virus de web en AVG

Llevo bastante tiempo si escribir por aquí nada, cosa que suele ser bastante normal, porque con tanto lío que llevo, me da alguna pereza ponerme a esto de escribir. Y hoy se me ha ocurrido comentar una cosa que yo no sabía realmente por qué pasaba con una web de las varias que mantengo, no esta que estás leyendo, que ya me dio sus problemas en su día, sino otra, y la verdad es que una vez solucionado, sigo sin saber realmente qué es lo que pasaba.

Esta página en cuestión iba bien al principio, y confome han ido pasando los años pues daba algunos problemas para cargarse en el Chrome. En concreto me salía una ventana del antivirus AVG, que es el que uso, que me decía que había algún problema, en concreto me detectaba con el nombre de «HTML:Script-inf [susp]», pero luego se cargaba bien. Y así fue pasando el tiempo.

Yo pensaba que era por cuestiones del SSL, por lo de cambiar de http a https, que en su día se hizo para las páginas de bancos, emails y demás, y luego ya si no la tenía la web más tonta, el navegador te decía que no era seguro entrar en esa página. Y como el proveedor de esta página no daba el tema del SSL por defecto, vi que WordPress sí que tenía un servicio en un plugin que servía para esto y lo instalé y lo activé. Y tras realizar una serie de ajustes y correcciones que indicaba la aplicación, funcionó bien. De hecho al ir a entrar a esta misma página para publicar este artículo, me ha salido un aviso de que no era seguro entrar por esta cuestión. Y le he dado a seguir de todas formas y ha funcionado. Y ha sido simplemente porque en el enlace que tenía guardado en el marcador (favoritos) del navegador, tenía la dirección con «http» en vez de «https». Pues no me extraña que un día de estos se repita la misma historia con esta también.

Luego me dio problemas porque no me dejaba entrar con el usuario de la página, y tenía que entrar con el usuario de Gmail. Esto me di cuenta que era por culpa del Jetpack, que es un plugin de WordPress, que inhabilitaba esto y entonces lo desconecté.

Y lo último ya es que esta semana, ya cuando entraba, dejó de funcionar la página y tras la ventanita del antivirus, lo que salía era una página de error, toda blanca con el dinosaurio que corre, como si no estuviera conectado a Internet, y ahí ya si que me asusté. Sin embargo se me ocurrió entrar desde el móvil, y desde el móvil no había ningún problema. Actualicé los plugins que no estaban actualizados y todo correcto. Pero desde la página seguía sin poder entrar.

Así que se me ocurrió escribirle a un buen amigo informático de Abanilla, que conocí por estas cosas del difunto foro de Abanilla en el que ambos participábamos, y que me suele sacar de más de una situación complicada. Por su propia seguridad voy a omitir cualquier tipo de información personal suya. Le comenté el problema y aunque me dijo hace un mes que estaba liado con otro proyecto de otra envergadura (que no voy a revelar porque peligra la vida del artista), se puso a responderme y a explicarme que esto era por el antivirus, y que si lo desactivaba entonces iría bien. Y así fue. Efectivamente al desactivar el escudo de protección, ya la página funcionó perfectamente. ¿Entonces? Se me ocurrió pensar que esto de quitar el antivirus lo había hecho yo, pero ¿y todos los demás usuarios que tuvieran este antivirus? A ellos la página directamente no les saldría y pensarían que era un problema de esa página, cuando el problema realmente era de su antivirus.

Unos días antes, se me había ocurrido mirar en otras direcciones web que encontré y que analizaban diversas cuestiones de las páginas, para ver si otras les detectaban virus.
https://sitecheck.sucuri.net/
https://www.virustotal.com/gui/home/url

Ninguna de las dos me dio ningún resultado de que tuviera ningún virus. Y así me lo confirmó también mi amigo tras revisarse el código HTML de la web. Con lo cual efectivamente el problema debía de estar en que el antivirus detectaba algo que le hacía pensar que eso era algo dañino para el ordenador y lo bloqueaba. Así pues, no me preguntéis cómo, pero me fue enviando archivos con extensión HTML para que cargara esa página, me creo que quitando cada vez un módulo diferente de los mil plugins que tiene la web. En realidad hacía al parecer 677 conexiones para descargarse entera. Estos archivos yo tenía que ir subiéndolos al servidor de la página e ir probando si al entrar en esas direcciones me salía algo o no me salía nada o qué, e ir diciéndoselo, para ir llevando un control. En unos no salía nada, en otros salía sólo el fondo, sin widgets ni texto ni nada. En otro salía texto pero los caracteres especiales (tildes, eñes y demás) salían como un rombo con una interrogación… Y yo iba diciéndole lo que me salía en cada ocasión, para ir sacando conclusiones de dónde estaba el error. Algo así como lo que hacía el doctor House: Ir descartando posibilidades y si no es esto será lo otro. Y todo esto por email, porque el whatsapp, como que no.


Al poco tiempo me di cuenta que al darle a descargar estos archivos al disco, me saltaba la ventanita del antivirus y tenía que desactivarlo para poder descargarlos. Al decírselo ya no fue necesario que estuviera subiendo estos archivos, sino que simplemente descargándolos ya podíamos saber si el antivirus en cuestión los detectaba como un problema o no. Sabiendo esto también, se le ocurrió que podría encender un PC que tenía por casa e instalar ese antivirus para hacer las pruebas directamente, sin tener que enviarme los archivos a mí.

Dado que él no usa antivirus en su ordenador, porque considera que pasan este tipo de cosas de que un antivirus te puede bloquear una página que no tiene ningún problema, era complicado que fuera viendo qué pasaba con estos archivos, porque no tenía ese antivirus instalado y por tanto nada le daba error. Un profesor de INFORGES con el que hice un curso del INEM, nos dijo en clase que el mejor antivirus es el dedo, porque si no entras donde no debes, no pasa nada; hoy en día no estaría yo tan seguro.

Buscando por foros, vio que en la página de soporte de AVG estaban también comentando este problema de que el antivirus le daba como una amenaza su propia página, y esto era porque alguien alguna vez le había dado a denunciar esta página y entonces la empresa del antivirus en su infinita sabiduría había metido esa dirección como una amenaza para toda la red mundial de usuarios.
https://support.avg.com/answers?id=9065p0000000y9pAAA
https://support.avg.com/answers?id=9065p0000000wNGAAY
Y claro, en este caso la empresa de hosting lleva las webs de varias organizaciones sin ánimo de lucro, y los clientes se estaban quejando porque sus páginas no funcionaban porque su antivirus decía que eran dañinas, sin serlo. Exactamente como mi caso. La respuesta dada por la empresa es que esto era debido a un «falso positivo» (como con el virus del coronavirus), por lo que los clientes debían de enviarles un correo indicándoles las páginas en cuestión, informando que esto era un falso positivo. Es decir, que esto no era culpa de la empresa de hosting, sino del antivirus, y como digo, no basta con cambiar ellos (o yo) de antivirus, sino que habría que cambiar a miles y miles de usuarios de antivirus, y esto es imposible, por lo que lo que procede era informar del falso positivo a AVG para que quitara esa dirección de su «Blacklist».

Para informar de este falso positivo AVG tiene la siguiente dirección en su página: https://www.avg.com/en-ww/false-positive-file-form#pc
Y ahí hay que poner un email de contacto y contar el problema. Y la verdad es que son bastante rápidos, relativamente hablando. Yo envié la dirección por la noche y el correo lo recibí a las 14:00 horas más o menos, e indicaba que habían borrado la «reputación» en su base de datos, basada en sus búsquedas y habían removido la detección. Este cambio tardaría unas 24 horas en tomar efecto completo. A continuación pedían disculpas por los inconvenientes causados. Y efectivamente, unas cinco horas después de recibido el correo ya funcionaba bien la página.

Pero mientras que eso aún no había ocurrido, me dijo también mi amigo que había probado la página con todos estos antivirus, que no son pocos. Ni me voy a poner a contarlos. Y en todos ellos la página estaba limpia.
Abusix, Acronis, ADMINUSLabs, AICC (MONITORAPP), AlienVault, alphaMountain.ai, Antiy-AVL, Artists Against 419, Avira, benkow.cc, Bfore.Ai PreCrime, BitDefender, BlockList, Blueliv, Certego, Chong Lua Dao, CINS Army, CMC Threat Intelligence, CyberCrime, Cyble, CyRadar, desenmascara.me, DNS8, Dr.Web, EmergingThreats, Emsisoft, ESET, ESTsecurity, Feodo Tracker, Forcepoint ThreatSeeker, Fortinet, G-Data, Google Safebrowsing, GreenSnow, Heimdal Security, Hoplite Industries, IPsum, Juniper Networks, K7AntiVirus, Kaspersky, Lionic, MalSilo, Malwared, MalwarePatrol, malwares.com URL checker, Nucleon, OpenPhish, Phishing Database, Phishtank, PREBYTES, Quick Heal, Quttera, Rising, Sangfor, Scantitan, SCUMWARE.org, Seclookup, SecureBrain, securolytics, Snort IP sample list, Sophos, Spam404, StopForumSpam, Sucuri SiteCheck, ThreatHive, Threatsourcing, Trustwave, URLhaus, Viettel Threat Intelligence, ViriBack, Virusdie External Site Scan, VX Vault, Web Security Guard, Webroot, Yandex Safebrowsing, ZeroCERT, 0xSI_f33d, AutoShun, Bkav, Cyan, Lumu, Netcraft, PhishFort, PhishLabs, PrecisionSec, SafeToOpen, URLQuery, VIPRE, Xcitium Verdict Cloud, VirusTotal, Provider, Phishtank, MalwareDomainList, Google, ZeusTracker, URLhaus, StopBadware, Quttera Labs, Yandex Safebrowsing, Google Safe Browsing, McAfee, Sucuri Labs, ESET, PhishTank, Yandex, Opera.

Es por todo este tipo de problemas por los que según me dijo, no valen los CMS tipo joomla y derivados, porque los «script» tienen que ser dedicados y exactos, lo cual a él nunca le pasaría pues sí que hace los «script» personalizados. El problema en este caso, es para la empresa que le hacía las páginas a sus clientes con este tipo de sistemas que ya vienen hechos de fábrica, como Joomla o WordPress, que sí que es verdad que son algo complicados al principio, pero alguien que más o menos controla esto, puede llevar una página bastante bien. Personalmente en su día me gustaba más el Blogspot de Blogger, porque es más colorido. Pero es verdad que igual es algo poco serio, aunque para uso personal está muy bien. Los otros CMS como Joomla o WordPress hay que mantenerlos actualizados, salvo que esté online en una página que no se puede controlar. Y si no se actualiza la página o los plugins luego es ciertamente complicado. Una web que me dijeron de llevar, estaba hecha con Joomla, que la verdad que es un sistema que conocí en 2008 y yo que venía del Blogger pues me pareció toda una aventura el sinfín de opciones que tenía, pero en este caso, el anterior administrador no había mantenido actualizada la página y aquello era ya imposible. Así que me tuve que copiar todas las entradas a mano en el word, y descargar las fotos, posteriormente instalar el WordPress que lo conocía mejor y empezar de cero a meter artículos. Esto mismo también lo había hecho en 2016 con esta página en cuestión de la que estoy hablando ahora mismo, con lo cual, sé de lo que hablo.

Uno de los resultados del antivirus, decía que había un problema con el archivo CSS del formulario de contacto. En concreto usaba en esta página el plugin del «Contact Form 7», que es uno de los más usados, pero hace unos días vi que este plugin no se podía integrar con otro plugin de la página y daba problemas, por lo que recomendaba cambiar de plugin para los formularios. En concreto el problema estaba en esta dirección: http://www.direcciondelaweb.com/wp-content/plugins/contact-form-7/includes/css/styles.css

Mi amigo se pensaba que todos los problemas vendrían de algún archivo tipo «js», y sin embargo esto era un CSS, que es un archivo que provee datos de configuración para la interfaz del formulario de contacto. En concreto, el antivirus este AVG se pensaba que dicho archivo era un virus, cuando en realidad el contenido era simple texto plano y muy corto de leer, sin absolutamente nada malo en él.

Después de enviarme muchos archivos para ir comprobando si seguían dando este tipo de error, dio con uno, que es el siguiente:
<script type=’text/javascript’ async src=’https://direcciondelaweb.com/wp-content/plugins/burst-statistics/helpers/timeme/timeme.min.js?ver=1.3.3′ id=’burst-timeme-js’></script>
Sin embargo según me dijo, aún quedaban otros dos más.
Otro estaba en esta dirección: https://direcciondelaweb.com/wp-content/plugins/burst-statistics/assets/js/build/burst.min.js?ver=1.3.3′ id=’burst-js’
Como se ve, el plugin es el mismo, y al parecer es el que detectaba el antivirus como dañino. ¿De verdad alguien iba a pensar que el gran problema era el del plugin de las estadísticas?

¿Y para qué servía este archivo del plugin tan dañino? Al parecer es un archivo que se usa algún plugin para las estadísticas. El archivo no tiene en absoluto código que dañe el PC, pero el problema para el antivirus, es que «espía» a los usuarios y abre un canal de socket, como el IRC, de los que nunca se cierra la conexión, pero de modo oculto para el usuario, y por esa web del protocolo websocket es por envía todo el que usuario hace. Es decir, cada vez que mueve el cursor, cada vez que se toca una tecla, cada vez que se hace clic, cada vez que que cambia el foco, incluso con pantallas táctiles, y se envían todos esos datos por ahí, por el canal de webchat que se abre. Es decir, que esto en realidad es un software que espía ocultamente a la gente, pero que sin ser dañino realmente, sin embargo sí que recopila información. Pero claro, para un servicio de estadísticas es necesario recopilar información, digamos que espiando un poco a la gente. Con lo cual ¿quién tiene razón? Difícil dilema de resolver.

Pero la cuestión es… ¿Entonces merece la pena intentar resolver el problema si ya en AVG han quitado la web de su lista negra? Pues si tiene uno ganas de investigar, es posible, aunque sólo sea por cuestión de orgullo o por ganas de saber y aprender. Pero lo cierto es que ya funciona. ¿Pero y si hay otros antivirus que siguen detectando la página como peligrosa y bloquean que se abra a sus usuarios? Es el caso al parecer del antivirus Abusix, que yo ni conozco. ¿Habrá otros antivirus que hagan lo mismo en el futuro? ¿Quién sabe? ¿No sería mejor entonces saber cuál es el problema realmente y cambiar el plugin por otro que no dé ese problema? En el caso de las estadísticas es complicado, porque lo hace el Jetpack, que casi que va de serie (imagino que será ese, no creo que tuviera otro contador de estadísticas puesto), pero en el caso del formulario de contacto sí que lo cambié. En fin. Espero que contar esta experiencia haya podido servir a alguien. Si es así, me daré por satisfecho.

ARTÍCULO ESCRITO ORIGINALMENTE EN LA OTRA PÁGINA Y PASADO A ESTE BLOG

Comentarios

Aviso sobre la moderación de comentarios

AVISO: La moderación de los comentarios está puesta por evitar los mensajes de SPAM en inglés. Todo comentario que esté en español y no sea un insulto será permitido.

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *