                                            <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

                                        <font size="2" face="Tahoma" color="#000000 ">Some thing to take in to account as well is that some AVs are known to flag Tor as a virus, I would say that maybe it's a possibility that traffic gets flagged as such too? I've never used an antivirus, let alone one that does traffic inspection so obviously this is conjecture on my part.</font><div><font size="2" face="Tahoma" color="#000000 "><br></font></div><div><font size="2" face="Tahoma" color="#000000 ">As an example, when I helped a friend set-up Tor Browser on his Windows machine, AVG reported that tor.exe was a possible virus and removed it, this also happened when we tested the Tor Vidalia bundle. This was simply a filesystem check though, rather than packet/traffic inspection. It was also very recent, within the last week.<br></font><font size="2" face="Tahoma" color="#000000 "><div><br></div><div class="mb_sig">--<div>Kura</div><div><br></div><div>t: <a href="https://twitter.com/kuramanga">@kuramanga</a></div><div>w: <a href="https://kura.io/">https://kura.io/</a></div><div>g: <a href="http://git.io/kura">@kura</a></div></div></font><blockquote class="history_container" type="cite" style="border-left-style:solid;border-width:1px; margin-top:20px; margin-left:0px;padding-left:10px;">

                                       <p style="color: #AAAAAA; margin-top: 10px;">On 05/01/2015 08:25:11, grarpamp <grarpamp@gmail.com> wrote:</p>On Mon, Jan 5, 2015 at 2:30 AM, eliaz <eliaz@riseup.net> wrote:

<br>> The antivirus program on a machine running a bridge occasionally

<br>> reports like so:

<br>>

<br>>         Object: https://<some ip="" address="">

<br>>         Infection: URL:Mal [sic]

<br>>         Process: ... \tor.exe

<br>>

<br>> When I track down the addresses I find they are tor nodes (sometimes

> bridges, sometimes guards, sometimes exits.

<br>>

<br>> Are the flagged nodes in some ways miss-configured, or can I consider

> these to be false positives? Is there anything to worry about here?

<br>>

<br>> Detail: The tor and standalone vidalia folders have been flagged as

<br>> exceptions (i.e. excluded) in the virus scanner. The scanner's web

> module is picking up the IP addresses from the port traffic.

<br>>

<br>> Thanks for any enlightenment - eliaz

<br>

<br>Since the internet is known to be an infected wasteland,

<br>and exits are known to MITM your streams, I'd suggest

<br>either compartmentalizing all your surfing in a disposable

<br>VM (which should probably be done anyways), or excluding

web traffic from your scanner.

<br>

<br>Additionally, if you are able to isolate and confirm that

<br>a specific exit is MITM'ing you (vs the "malware/virus" being

<br>on the original clearnet site itself) feel free to post its fingerprint

<br>here so that the workers can double check and dirauths can

give it the bad exit flag.

<br>

<br>Unfortunately Tor doesn't have simple logging format

that you can watch in real time alongside your scanner.

I'm finishing a spec ticket for that soon though.

<br>_______________________________________________

<br>tor-relays mailing list

<br>tor-relays@lists.torproject.org

<br>https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays

<br></some></eliaz@riseup.net>

                                       </blockquote>

                                        </div>