domingo, 19 de febrero de 2012

False DragDrop.B Trojan detected by Microsoft Security Essentials in a JavaScript code in Catalan

When you get a virus warning message, you should always care about it, but sometimes it may happen that the detection is incorrect and therefore it is convenient the availability of more than one antivirus software.

I will tell you a strange recent example that we found:

If you have installed the Microsoft Security Essentials, and you create a file "code.js" (JavaScript) containing the exact text:

ClickSobreSituacio function (event_de_clic)
{
    PortamAPunt (DonaCoordXDeCoordSobreSituacio (event_de_clic.clientX) DonaCoordYDeCoordSobreSituacio (event_de_clic.clientY));
}

You will receive a warning message saying that a Trojan virus called "DragDrop.B" is about to devour you and that it must be removed immediately.
If you ask for more information on the Microsoft website to find exactly what can happen, you will not get much more information:

You do not need much knowledge of JavaScript to see that the code is written entirely in Catalan, and therefore is unlikely to contain that virus. If you know a little more, you'll see that the code defines a function and does not contain a command to run it. In the case you are able to run it from another place, it will not work either, because this piece of code is incomplete and lacks the definition of 2 additional functions.

The most curious of all is that only a small variation in the code makes the message disappear:
ClickSobreSituacio function (event_de_click)
{
    var x = DonaCoordXDeCoordSobreSituacio (event_de_click.clientX);
    var y = DonaCoordYDeCoordSobreSituacio (event_de_click.clientY);
    PortamAPunt (x, y);
}

As a programmer I very much appreciate the efforts of antivirus developers, but when they are erroneously detected, they can stain the work done for months to create, in this case a web application, and, when presenting it publicly, they can discredit it without reason.

Joan Masó

Information

List of antivirus that does not have this incorrect detection:
* Panda Internet Security
* Symantec
* Office Scan
* McAfee
* AVG
* Avast

Microsoft Security Essentials version that presents the problem: 18/02/2012 version 1.119.2238.0.

Fals troià DragDrop.B detectat per Microsoft Security Essentials en un codi JavaScript en català

Quan surt un missatge d'advertiment de virus, sempre cal fer cas, però alguns cops pot passar que la detecció sigui incorrecta i per això cal tenir a l'abast més d'un programari d'antivirus.

Us explico un estrany exemple recent que ens hem trobat:

Si teniu instal·lat l'antivirus Microsoft Security Essentials, i creeu un fitxer "codi.js" (JavaScript) que contingui exactament aquest text:

function ClickSobreSituacio(event_de_clic)
{
    PortamAPunt(DonaCoordXDeCoordSobreSituacio(event_de_clic.clientX), DonaCoordYDeCoordSobreSituacio(event_de_clic.clientY));
}


Us apareixerà un missatge avisant que està a punt de devorar-vos un virus anomenat "DragDrop.B" de tipus troià que cal esborrar immediatament.
Si demaneu més informació a la web de Microsoft per saber exactament què us pot passar no obtindreu massa més dades:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aJS%2fDragDrop.B&threatid=2147543769

No cal tenir molts coneixements de JavaScript per veure que el codi està escrit enterament en català, i que, per tant és poc probable que contingui el citat virus. Si en sabeu una mica més, veureu que el codi defineix una funció i no conté cap ordre d'executar-la. En cas que fossiu capaços d'executar-la des d'un altre lloc, tampoc no funcionaria, atès que aquest tros de codi és incomplet i li falta la definició de 2 funcions addicionals.

El més curiós de tot és que només una petita variant en el codi fa que el missatge desaparegui completament:
function ClickSobreSituacio(event_de_click)
{
    var x=DonaCoordXDeCoordSobreSituacio(event_de_click.clientX);
    var y=DonaCoordYDeCoordSobreSituacio(event_de_click.clientY);
    PortamAPunt(x,y);
}

Com a programador agraeixo molt els esforços que els desenvolupadors d'antivirus fan però quan generen una detecció incorrecta, poden tirar per terra la feina que s'ha fet durant mesos en crear, en aquest cas una aplicació web, i que en el moment de presentar-la públicament pot quedar desprestigiada sense cap motiu.

Joan Masó

Informació complementària

Llistat d'antivirus que no presenten aquesta detecció incorrecta:
* Panda Internet Security
* Symantec
* Office Scan
* McAfee
* AVG
* Avast

Versió del Microsoft Security Essentials que presenta el problema actualitzada el 18/02/2012 amb la versió 1.119.2238.0.