ALERTE : Faux positif sur assiste.com

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Faux positif sur assiste.com

Messagede pierre » 05 Juin 2017, 13:43

ALERTE : Faux positif sur assiste.com
Je viens de recevoir plusieurs e-mail me signalant ce problème.
Cela vient de Comodo et est en train de se répandre (Avast...).
Comme je n'ai pas ces outils, je ne m'en suis pas aperçu.
J'essaye d'endiguer cette stupidité.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 06 Juin 2017, 00:34

Bonjour,

Je crois avoir compris ce qui se passe. Je viens de mettre en ligne plusieurs pages concernant la protection des 5 millions d'utilisateurs du tracker bitTorrent t411 contre, entre autres, les publicités agressives et trompeuses sur ce site et les tentatives de phishing dont ses visiteurs sont victimes. Ces pages donnent, en particulier, l'adresse exacte d'accès à ce tracker, car il y a plusieurs dizaines de faux trackers t411 qui sont tous des sites de pur phishing.

Or, actuellement, le vrai tracker t411 est considéré comme un site de phishing, ce qui est une imbécillité pure. Ce tracker rapporte à son unique propriétaire environ 1 million d'€ par mois (5 à 600.000 € par mois en publicités et 5 à 600.000 € par mois en faisant payer l'augmentation du ratio de partage). Son administrateur n'a donc strictement aucun intérêt à saborder sa poule aux œufs d'or.

La totalité des signalements de tentatives de phishing par les usagers de t411 proviennent d'e-mail ou de messages privés dans la messagerie du site ou du forum. C'est de l'Ingénierie sociale. Il n'y a aucun signalement correspondant à un hack du site sur son serveur.
A ma connaissance (et mon observation de ce qui se dit sur leur forum), le tracker t411 officiel n'est pas un site de phishing.

Phishtank s'en est emparé et amplifie la portée de ce faux positif.

Pour l'instant, je maintiens ces pages en ligne, mais l'effet est catastrophique.

A suivre

Pierre
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede bellafago » 06 Juin 2017, 10:48

Bonjour Pierre,


J' ai eu effectivement ce message hier sous windows...

@+
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 Avr 2005, 12:49

Re: ALERTE : Faux positif sur assiste.com

Messagede Vazkor » 08 Juin 2017, 08:45

Salut,

J'ai vu les premiers blocages de sites malicieux par Heimdal Pro.
C'est celui d'Assiste.com, à 6 reprises, bien entendu.

Heimdal Security has blocked this page.

The web location you are trying to access may trigger phishing attempts or contain malicious content which could affect your system.

If you consider this is a safe online location, contact us at support@heimdalsecurity.com to analyze it and we'll get back to you.

Learn more about the way that Heimdal protects you against cyber threats such as malicious websites: Why Heimdal.

You can also discover free security guides and actionable resources on our blog.


Si Pierre prépare un message en anglais — ce dont je suis incapable —, je le transmettrai volontiers à l'adresse indiquée (s'il ne peut pas le faire lui-même).

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 08 Juin 2017, 14:19

J'ai envoyé ceci à 3 sites aujourd'hui, dont Avira et heimdalsecurity.com


Hello,

I am the owner, webmaster and editor of the website http://assiste.com.

Reporting my site as a phishing site is a false positive on your part.
The origin of this report is, IMHO:

1 / A report by a new registrant (May 26, 2017) on PhishTank, under the nickname of chris34. In a few days he made 36 alerts. It is, as far as assiste.com is concerned, a real malevolence, the will to harm, or a total incompetence (and, no doubt, the inability to read French).

The Anti-Phishing home page on assiste.com
http://assiste.com/Phishing.html

Search for "phishing" on assiste.com website with Google - (more than 1000 pages)
https://www.google.fr/search?q=site:ass ... m+phishing

2 / Maybe the production, a few days ago, of a group of pages concerning the protection of the 5 million users of the bitTorrent tracker t411. I explain how to protect themselves from various attacks in phishing. They come from e-mail (by normal e-mail clients) or from private messages on the tracker. Nothing to do with the tracker itself. The tracker, the world's largest French tracker, is not a phishing site, but it is the victim of an incredible number of fake sites that resemble it, all of which are phishing sites or hijackers of their visitors. Estimates of the t411 administrator's income are around € 1 million a month - he would be crazy to kill his chicken with golden eggs.

In my explanations, I give the exact URL of access to the tracker t411, to avoid all the fakes sites. There is a large hosts file list of those fakes and how to block them in a local DNS. However, it happens that for some time, this tracker t411 itself is also called a site of phishing, which is false.

I work, and my site works exclusively in the field of computer security and protection of privacy on the Web, since 1999 (under another name at the very beginning).

I use only static pages (no PHP or mySQL ...) so I cannot be hacked (among other things, by phishing operations).

Thank you for pointing out precisely what is the object that attracts your attention (unless you simply follow the reporting by someone else) or correct this false positive.

Cordially.


Autre rédaction envoyée à d'autres :

Hello,
I am the owner, webmaster and editor of the website http://assiste.com.
Reporting my site as a phishing site is a false positive on your part.
The origin of this report is, IMHO, my page http://assiste.com/SpyMe_Tools.html
My page about SpyMe Tools starts with this sentence, in red:
"Downloads are suspended for now."
The two download buttons do not lead to anything (they loop on the page itself).
The allegation is not related at all to SpyMe Tools, but to a technology used by SpyMe Tools, as a wrapper for old tools to make them compatible with newer MS OS, which is perfectly sound in the case of SpyMe Tools, although it can be used for other purposes, by others, with other tools.
The technology used (in English): http://www.madshi.net/madCodeHookDescription.htm
This is an unworthy amalgamation.
The following link is an analysis of SpyMe Tools, modified with madCodeHook, by 61 antivirus (VirusTotal).
It comes out virtually clean (a usual false positive from Baidu, and Sophos which correctly detects MadCodeHook (simply classified as a PUP).
The first analysis of the same hashcode goes back more than 6 years. For more than 6 years, nobody has said anything.
https://www.virustotal.com/fr/file/e4df ... 494725125/
I had the unfortunate idea to launch the analysis of this software, the day I wrote my page (I allways do that), in the VxStream (the Sandbox of Payload Security). It was from there that everything started.
The analysis I launched: https://www.hybrid-analysis.com/sample/ ... mentId=100
One can see, first of all, that they start by searching in VirusTotal and another not identified with certainty (probably Opswatt).
If I request an analysis by a tool, it is not for it to behave in an aggregator of other tools and gives credit to false positives.
My page is just talking about one software, since I put it online, waiting to clarify its situation.
If the simple fact of talking about software, including dangerous software (I am the inventor of the "crapthèque" - list of more than 5000 dangerous software to varying degrees), it is necessary to:
Block all CERT (Computer Emergency Response Team) in the world
Block Secunia
Block https://cve.mitre.org/ (Common Vulnerabilities and Exposures (CVE))
Block all antivirus sites in the world that make detailed records of each malicious
Block the wildlist site http://www.wildlist.org/CurrentList.txt
Etc.
We walk on the head !
I work, and my site works exclusively in the field of computer security and privacy protection on the Web, since 1999 (under another name at the very beginning).
I use only static pages (no PHP or mySQL ...) so I cannot be hacked (among other things, by phishing operations).
--
Pierre Pinard
http://assiste.com
Sécurité et vie privée (Security and privacy)
ASAP administrator (http://assiste.com/ASAP.html)
Malwarebytes expert
01net consultant
SpywareInfo Ambassador
Big Brother Awards 2003
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 08 Juin 2017, 16:35

Réponse rapide de l'un d'eux, circonstanciée, en plus (heimdalsecurity.com) !

Rien à voir avec ce à quoi je pensais !

C'est à cause de la page SpyMe Tools

Là, je suis fou de rage car cette page commence par indiquer, en rouge, que les téléchargements sont suspendus et, d'autre parts, les liens de téléchargement sont inhibés (ils bouclent sur la page elle-même).

Donc, il n'y a aucun risque, si tant est que SpyMe Tools puisse présenter un risque, ce qui n'est pas du tout le cas (lire ma page). Il y a une page qui parle d'un logiciel, c'est tout !

Hi Adrian

Thank you very much for the answer, it's fast and precision .

However, I am fully aware of that.
My page assiste.com/SpyMe_Tools.html starts with this sentence, in red:
"Downloads are suspended for now."

The two download buttons do not lead to anything (they loop on the page itself).

The allegation is not related at all to SpyMe Tools, but to a technology used by SpyMe Tools, which is perfectly sound in the case of SpyMe_Tools, although it can be used for other purposes, Others, with other tools.

The technology (in English): http://www.madshi.net/madCodeHookDescription.htm

This is an unworthy amalgamation.

My page is just talking about one software, since I put it online, waiting to clarify its situation.

If the simple fact of talking about software, including dangerous software (I am the inventor of the "crapthèque" - list of more than 5000 dangerous software to varying degrees), it is necessary to:
Block all CERT (Computer Emergency Response Team) in the world
Block Secunia
Block https://cve.mitre.org/ (Common Vulnerabilities and Exposures (CVE))
Block all antivirus sites in the world that make detailed records of each malicious
Block the wildlist site http://www.wildlist.org/CurrentList.txt
Etc.

We walk on the head

We exceed the deduction limits of virtual machines and sandboxes. They should not be allowed to deduce from themselves. They are there to assist the human, not to supply it.

Regards

--
Pierre Pinard
http:/assiste.com
Sécurité et vie privée (Security and privacy)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 08 Juin 2017, 16:42

Re,

Ils me répondent, pensant que le problème est résolu.
Non, il n'est pas résolu. Il est cerné.

Hello Adrian and Alexandru,

No, the issue has not been solved.

More info:

The following link is an analysis of SpyMe Tools, modified with madCodeHook, by 61 antivirus (VirusTotal).

It comes out virtually clean (a usual false positive of Baidu, and Sophos which correctly detects MadCodeHook (classified as a PUP).

The first analysis of the same hashcode goes back more than 6 years. For more than 6 years, nobody has said anything.
https://www.virustotal.com/fr/file/e4df ... 494725125/

I had the unfortunate idea to launch the analysis of this software, the day I wrote my page, in VxStream (the Sandbox of Payload Security). It was from there that everything started.

The analysis I launched: https://www.hybrid-analysis.com/sample/ ... mentId=100

One can see, first of all, that they start by searching in VirusTotal and another not identified with certainty (probably Opswatt).

If I do an analysis by a tool, it is not for it to behave in aggregator of other tools and gives credit to false positives.

No, the problem is not solved. I have slightly modified my page to avoid any ambiguity, but the problem is not solved. In particular, there is the problem of reporting by those who do not know anything about it (Crowdsourcing) which is causing considerable harm. In the days when Wot took off, I denounced the Crowdsourcing, with only a narrow window of interest.

I am impressed by your responsiveness.

Thank you so much.

--
Pierre Pinard
http:/assiste.com
Sécurité et vie privée (Security and privacy)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 08 Juin 2017, 23:34

Et bien, voilà !
Et d'un !

Adrian Manolache (Heimdal Security)

Jun 8, 18:53 EEST
Hello Pierre,

Thank you for contacting us.
We decided to remove it from our blacklist and it should be available for you in 24 hours or less.

When you'll try to access it, please clear your browser's cookie and cache, if you don't know how to do it, here a mini-tutorial that will show you how to do this for each browser:
- https://kb.iu.edu/d/ahic
If it's still blocked after the first 24h, Please disable Heimdal's traffic filtering and then clear cookies, cache and browser's history and try to access the website. If it works, then please enable again Traffic filtering.

Let me know if I can help you with anything else.

Kind Regards,

Adrian Manolache
Heimdal Security A/S & Heimdal Security SRL
http://www.heimdalsecurity.com/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 09 Juin 2017, 21:44

Des commentaires sur un produit Heimdal Security, pas trop anciens (10 mois à ce jour)
https://www.reddit.com/r/sysadmin/comme ... h=55f4fae5

Mais bon... il n'y a que ceux qui se plaignent qui interviennent.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Faux positif sur assiste.com

Messagede pierre » 10 Juin 2017, 08:16

Le classement en site de phishing d'assiste par Clean MX !
Plusieurs jours que je tente de les joindre. Ils sont sous attaque (un DDoS - Distributed Denial of Service astucieusement mis en place par un Add-on (Extension) de navigateur, ce qui fait que l'attaque provient de tous les utilisateurs de cet add-on, à leur insu ! Pas besoin de Botnet (réseau de machines zombies) - c'est le monde entier qui sert de Botnet (réseau de machines zombies). Pas besoin de C&C - Command and Control). Quant à faire décontaminer les machines sous Android !... Vous n'y pensez pas ! Personne n'y pense !
Aucune page de leur site n'est accessible.
J'ai des moments de lassitude.
La survie du site est en jeu.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27552
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités