Pregunta sobre Slimstat Analytics de Wordpress:

TrojanDownloader: 097M / Donoff detectado en el archivo

Un usuario preguntó 👇

El troyano fue detectado por Wordfence (e instalado a través de WP Updates) y por Microsoft Security Essentials. Eliminé este plugin de todos mis sitios.

(@coolmann)

Hace 3 años, 3 meses

Hola,

Gracias por tu mensaje. No conocemos preguntas. Sospecho que es un falso positivo. ¿Ese software dice exactamente qué archivo está afectado? Me ayudaría a aliviar el problema y solucionarlo.

Mejor, Jason

(@catmaniax)

Hace 3 años, 3 meses

¡Eso es bastante extraño!

Para mi sorpresa, también puedo confirmarlo. Descargué Slimstat del repositorio aquí y lo cargué en virustotal.

Aquí están los resultados:

https://www.virustotal.com/#/file/8242c67a4feda469f5e44b4aa26e06a2d830e498420f74d26047e5783d42bc24/detection

Se encontraron 2 troyanos. Espero que sea un falso positivo. ¿Puedes investigarlo Jason, por favor?

(@coolmann)

Hace 3 años, 3 meses

Todavía estoy confundido ¿Qué archivo contiene exactamente este troyano? Empaquetamos nuestro código fuente con cuidado y usamos paquetes de terceros de confianza. Además, si busca en Google ese archivo troyano al que Microsoft se refiere rápidamente, encontrará esta página:

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TROJANDOWNLOADER:O97M/DONOFF

Como puede leer en esa página, este troyano infecta archivos de Microsoft Word y, hasta donde yo sé, NO hay tales archivos en nuestro plugin, estoy bastante seguro de eso.

Ciertamente es un falso positivo, pero desafortunadamente la firma de nuestro archivo zip es compatible con alguna firma asociada con ese troyano. Estoy seguro de que esto desaparecerá cuando lancemos la próxima actualización en unos días.

Si tiene pruebas de que un código malicioso en Slimstat contiene más de 2 antivirus de aproximadamente 100, comuníquese con nuestro equipo de soporte y resolveremos el problema de inmediato.

Como sabes, la seguridad de nuestros usuarios es la primera prioridad.

Mejor, Jason

(@iaps)

Hace 3 años, 3 meses

De los requisitos de seguridad de Microsoft:

Categoría: Trojan Downloader

Descripción: este programa es peligroso y descarga otros programas.

Acción recomendada: elimine este software de inmediato.

Elementos: archivo contenedor: C: Users iaps Downloads wp-slimstat.4.7.2.2.zip archivo: C: Users iaps Downloads wp-slimstat.4.7.2.2.zip-> wp-slimstat / admin / ver / index.php -> (SCRIPT0021)

(@stodorovic)

Hace 3 años, 3 meses

Según mi rápida investigación, el siguiente código parece describirse como un «virus»:

for($i=1;$i<=12;$i++){
        if(!empty(wp_slimstat_db::$filters_normalized['date']['month']) && wp_slimstat_db::$filters_normalized['date']['month'] == $i) 
                echo "<option value='$i' selected='selected'>".substr($GLOBALS['month'][zeroise($i, 2)], 0, 3)."</option>";
        else
                echo "<option value='$i'>".substr($GLOBALS['month'][zeroise($i, 2)], 0, 3)."</option>";
}

Pero se ejecuta un código equivalente:

for($i=1;$i<=12;$i++){
	$i_month=substr($GLOBALS['month'][zeroise($i, 2)], 0, 3);
	if(!empty(wp_slimstat_db::$filters_normalized['date']['month']) && wp_slimstat_db::$filters_normalized['date']['month'] == $i)
		echo "<option value='$i' selected='selected'>".$i_month."</option>";
	else
		echo "<option value='$i'>".$i_month."</option>";
}

Entonces, ciertamente es un informe falso positivo.

PD: Posible reemplazo del código anterior:

global $wp_locale;
$month_abbrev = $wp_locale->get_month_abbrev( $wp_locale->get_month( $i ) );

Esta respuesta fue modificada hace 3 años, 3 meses por. Esta respuesta fue modificada hace 3 años, 3 meses por.

(@catmaniax)

Hace 3 años, 3 meses

Me alegro de que sea un falso positivo

(@chenryahts)

Hace 3 años, 3 meses

También tuve esto en Windows Defender

(@coolmann)

Hace 3 años, 3 meses

Gracias a todos. Estamos a punto de actualizar nuestro código para eliminar este falso positivo según la recomendación de Sasa.

Lo mejor, Jason.

¿Solucionó tu problema??

0 / 1

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.