Antywirus i strony WWW

W ostatnich dniach na facebook popularna była strona "why you should not add your parents as friends on Facebook?". Dlaczego moja Avira wykryła zagrożenie szybciej niż u innych osób?

Jeżeli ktoś nie klikał (i słusznie) zostań fanem, to nie wie jak to chciało się rozprzestrzeniać. Wirus mianowicie instruował sam użytkownika, żeby ten skopiował szkodliwy kod w JavaScripcie, wkleił go w pasek adresu przeglądarki, a następnie sam uruchomił. Przypomina się dowcip o prostym i skutecznym wirusie e-mailowym: "Proszę skasuj wszystkie pliki z komputera, ale najpierw roześlij tą wiadomość wszystkim znajomym" ;)

Czytałem artykuł o tej "stronce" w serwisie niebezpiecznik.pl i zauważyłem, że antywirus autora wykrył zagrożenie ("JS/FoobNoob.A") dopiero kiedy ten próbował zapisać szkodliwy kod. Natomiast u mnie alarm Aviry pojawił się już jak kliknąłem (ech...) "Zostań fanem". Dlaczego?

Rozwiązanie tkwi w dodatku do Firefoksa - HTML Validator. Sprawdza on zgodność wyświetlanej strony WWW ze standardami, a żeby to zrobić zapisuje stronę w katalogu tymczasowym na dysku.

I właśnie w tym momencie do gry wkracza Avira, która automatycznie sprawdza wszystko to, co chcesz zapisać na dysku. Kiedy wykryje wirusa wyświetla komunikat i jeżeli wybierzemy opcję "Zablokuj", to strona się w Firefoksie po prostu nie wyświetli.

Proste, skuteczne i chyba niezamierzone działanie dodatku do walidacji HTML :) De facto podobną rolę może pełnić każdy dodatek, który zapisuje odwiedzaną aktualnie stronę w katalogu tymczasowym - nie badałem podobnych dodatków dla Chrome, ale raczej zachowują się podobnie jak ten do FF :)

Na szczęście wirus "why you should not add your parents as friends on Facebook?" był niegroźny i jego jedynym celem było rozprzestrzenianie się (polecanie znajomym zainfekowanej osoby). Ale gdyby było inaczej...

Link z opisem niebezpiecznej fanpage: http://niebezpiecznik.pl/post/grozne-aplikacje-facebookowe/

Wspomniany walidator dla Firefoksa: http://users.skynet.be/mgueury/mozilla/