PDA

Просмотр полной версии : Помогите разобраться. Kaspercky Trojan.Script.Generic



Вирга
07.08.2014, 14:46
Добрый день.
Столкнулся со следующей проблемой. Наш сайт virga-ltd.ru размещён на хостинге компании Reg.ru
С недавнего времени (2 недели), антивирус Kaspersky internet security начал блокировать доступ пользователей к сайту так как обнаруживает вирус: HEUR:Trojan.Script.Generic (тестировалось на более 10 компьютерах).
С компьютеров, где установлены другие антивирусы мы заходили на сайт без каких-либо сообщений о подозрениях на вирус.
В базе данных Kaspersky описания вируса не нашлось.
Я написал в Лабораторию Касперского вопрос, но пока нет ответа, а время идёт и проблемы с доступом на сайт не украшают нас перед посетителями.
Я связывался с тех поддержкой провайдера хостинга, они проверили своими инструментами и вирус не обнаружили.
Очень прошу совета, как действовать в такой ситуации? Может уже кто-нибудь решал аналогичную проблему.
Высокобюджетные способы решения проблемы, к сожалению, неприемлемы.
Заранее благодарю.

olejah
07.08.2014, 15:02
Добрый день!
Судя по всему, что я вижу, нет никакого вируса.
Остается только ждать, чтобы в Лаборатории Касперского исправили это. Правильно сделали, что написали им.

Ilya Shabanov
07.08.2014, 15:27
Хотя HEUR:Trojan.Script.Generic как бы намекает на срабытывания эвристики, а не четкой сигнатуры (иными словами есть подозрение, а не фактическое обнаружение), но не факт, что это ложное срабатывание.

Сайты заражаются хитро, вредоносный скрипт может возвращать разный код в зависимости от того, кто и откуда заходит на сайт. Это принципы продажи трафика на черном рынке. Поэтому если вы не видите вредоносного, то это не значит, что его там нет.

Пока дожидаетесь ответа от ЛК рекомендую вам самым тщательным образом проверить изменения сриптов на сайте. Чаще всего злоумышленники меняют index.php, шаблоны тем или какие-либо модули CMS. Если что-либо менялось, то это должно насторожить.

Также проверить свой сайт на virustotal.com, различные страницы. Проблемная по отчету этого сервиса чистая https://www.virustotal.com/ru/url/39cdd174e4817cfbf5317bf1355cbe45b969893d541846741d 6a9d362a95085a/analysis/1407410657/

Также не лишним будет посмотреть есть ли алерты в интерфейсе веб-мастера к вашему сайту для поисковиков Google, Bing. Они по опыту очень быстро обнаруживают заразу и шлют алерты.

Но скорее всего ложное срабатывание. olejah прав.

thyrex
07.08.2014, 16:06
Я написал в Лабораторию Касперского вопрос, но пока нет ответаКуда писали? Номер обращения напишите

Вирга
08.08.2014, 12:45
Куда писали? Номер обращения напишите

Писал представителю "Лаборатории Касперского" в СЗФО Евгению Питолину 5 августа 2014. Его контакт взял с сайта Касперского : Evgeny Pitolin <[email protected]>

Получил от него ответ 5 августа:

Добрый день!

я подумаю, куда лучше переслать Ваш вопрос, и сообщу Вам.

Евгений Питолин| Представительство в СЗФО| Лаборатория Касперского

Пока больше ничего от них нет.
Может есть другой, более правильный путь обращения в "Лабораторию Касперского"? Подскажите, пожалуйста, я на сайте не смог найти.

regist
08.08.2014, 13:11
Вирга, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform
Выбрав тип запроса ложное срабатывание на ресурс.

- - - Добавлено - - -

Отправил туда запрос [KLAN-1859884296]

Вирга
08.08.2014, 13:17
Вирга, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform
Выбрав тип запроса ложное срабатывание на ресурс.

- - - Добавлено - - -

Отправил туда запрос [KLAN-1859884296]

Спасибо!

regist
08.08.2014, 13:35
Уже получил ответ

Здравствуйте,

Данное срабатывание не является ложным. Сайт инфицирован.

Следующий код является вредоносным:
function dnnViewState()
...
...


Если Вы являетесь вебмастером данного сайта, рекомендуется удалить данный участок кода с вашей страницы. Настоятельно советуем Вам сменить логин/пароль для доступа к сайту, поскольку эти данные могут быть украдены злоумышленниками.

Вирга
08.08.2014, 15:41
Уже получил ответ

Спасибо.
Прогуглил проблему.
Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
Помогите советами, как убрать код?
Я на форумах прочитал, что необходимо искать код function dnnViewState()
Но я такой строки в своём файле не вижу. Но это тот файл точно, т.к. при переносе его на мой компьютер, антивирус сразу его убивает.
Прикрепляю скриншоты кода файла два файла это один код
Заранее благодарю за помощь.

regist
08.08.2014, 18:01
Вирга, надо смотреть подключённые JS скрипты.


Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
заархивируйте его с паролем virus и пришлите мне в личку.

- - - Добавлено - - -

Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.

- - - Добавлено - - -

там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a891f5a724e4957de98344b8ebc6d8546be90bde3eb730bf50 dd037e78da00e5/analysis/1407506390/
В таком случае удалить ещё три последние строчки.

Вирга
08.08.2014, 18:27
Вирга, надо смотреть подключённые JS скрипты.


заархивируйте его с паролем virus и пришлите мне в личку.

- - - Добавлено - - -

Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.

- - - Добавлено - - -

там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a891f5a724e4957de98344b8ebc6d8546be90bde3eb730bf50 dd037e78da00e5/analysis/1407506390/
В таком случае удалить ещё три последние строчки.

Видимо, мне надо очки купить)
Удалил, теперь всё работает.
Спасибо за помощь!

Ilya Shabanov
11.08.2014, 15:50
Спасибо.

Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php


Ровно то, что я подозревал. Хорошо, что проблему удалось разрешить общими усилиями.