Показано с 1 по 12 из 12.

Помогите разобраться. Kaspercky Trojan.Script.Generic

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    36

    Помогите разобраться. Kaspercky Trojan.Script.Generic

    Добрый день.
    Столкнулся со следующей проблемой. Наш сайт virga-ltd.ru размещён на хостинге компании Reg.ru
    С недавнего времени (2 недели), антивирус Kaspersky internet security начал блокировать доступ пользователей к сайту так как обнаруживает вирус: HEUR:Trojan.Script.Generic (тестировалось на более 10 компьютерах).
    С компьютеров, где установлены другие антивирусы мы заходили на сайт без каких-либо сообщений о подозрениях на вирус.
    В базе данных Kaspersky описания вируса не нашлось.
    Я написал в Лабораторию Касперского вопрос, но пока нет ответа, а время идёт и проблемы с доступом на сайт не украшают нас перед посетителями.
    Я связывался с тех поддержкой провайдера хостинга, они проверили своими инструментами и вирус не обнаружили.
    Очень прошу совета, как действовать в такой ситуации? Может уже кто-нибудь решал аналогичную проблему.
    Высокобюджетные способы решения проблемы, к сожалению, неприемлемы.
    Заранее благодарю.
    Изображения Изображения
    • Тип файла: jpg Kasp.jpg (38.8 Кб, 7 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Добрый день!
    Судя по всему, что я вижу, нет никакого вируса.
    Остается только ждать, чтобы в Лаборатории Касперского исправили это. Правильно сделали, что написали им.

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202
    Хотя HEUR:Trojan.Script.Generic как бы намекает на срабытывания эвристики, а не четкой сигнатуры (иными словами есть подозрение, а не фактическое обнаружение), но не факт, что это ложное срабатывание.

    Сайты заражаются хитро, вредоносный скрипт может возвращать разный код в зависимости от того, кто и откуда заходит на сайт. Это принципы продажи трафика на черном рынке. Поэтому если вы не видите вредоносного, то это не значит, что его там нет.

    Пока дожидаетесь ответа от ЛК рекомендую вам самым тщательным образом проверить изменения сриптов на сайте. Чаще всего злоумышленники меняют index.php, шаблоны тем или какие-либо модули CMS. Если что-либо менялось, то это должно насторожить.

    Также проверить свой сайт на virustotal.com, различные страницы. Проблемная по отчету этого сервиса чистая https://www.virustotal.com/ru/url/39...is/1407410657/

    Также не лишним будет посмотреть есть ли алерты в интерфейсе веб-мастера к вашему сайту для поисковиков Google, Bing. Они по опыту очень быстро обнаруживают заразу и шлют алерты.

    Но скорее всего ложное срабатывание. olejah прав.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  5. Это понравилось:


  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Вирга Посмотреть сообщение
    Я написал в Лабораторию Касперского вопрос, но пока нет ответа
    Куда писали? Номер обращения напишите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #5
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от thyrex Посмотреть сообщение
    Куда писали? Номер обращения напишите
    Писал представителю "Лаборатории Касперского" в СЗФО Евгению Питолину 5 августа 2014. Его контакт взял с сайта Касперского : Evgeny Pitolin <[email protected]>

    Получил от него ответ 5 августа:

    Добрый день!

    я подумаю, куда лучше переслать Ваш вопрос, и сообщу Вам.

    Евгений Питолин| Представительство в СЗФО| Лаборатория Касперского

    Пока больше ничего от них нет.
    Может есть другой, более правильный путь обращения в "Лабораторию Касперского"? Подскажите, пожалуйста, я на сайте не смог найти.

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Вирга, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform
    Выбрав тип запроса ложное срабатывание на ресурс.

    - - - Добавлено - - -

    Отправил туда запрос [KLAN-1859884296]

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от regist Посмотреть сообщение
    Вирга, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform
    Выбрав тип запроса ложное срабатывание на ресурс.

    - - - Добавлено - - -

    Отправил туда запрос [KLAN-1859884296]
    Спасибо!

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Уже получил ответ
    Здравствуйте,

    Данное срабатывание не является ложным. Сайт инфицирован.

    Следующий код является вредоносным:
    function dnnViewState()
    ...
    ...


    Если Вы являетесь вебмастером данного сайта, рекомендуется удалить данный участок кода с вашей страницы. Настоятельно советуем Вам сменить логин/пароль для доступа к сайту, поскольку эти данные могут быть украдены злоумышленниками.

  12. #9
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от regist Посмотреть сообщение
    Уже получил ответ
    Спасибо.
    Прогуглил проблему.
    Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
    Помогите советами, как убрать код?
    Я на форумах прочитал, что необходимо искать код function dnnViewState()
    Но я такой строки в своём файле не вижу. Но это тот файл точно, т.к. при переносе его на мой компьютер, антивирус сразу его убивает.
    Прикрепляю скриншоты кода файла два файла это один код
    Заранее благодарю за помощь.
    Изображения Изображения
    • Тип файла: jpg code2.jpg (52.1 Кб, 12 просмотров)
    • Тип файла: jpg code1.jpg (68.8 Кб, 9 просмотров)

  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Вирга, надо смотреть подключённые JS скрипты.

    Цитата Сообщение от Вирга Посмотреть сообщение
    Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
    заархивируйте его с паролем virus и пришлите мне в личку.

    - - - Добавлено - - -

    Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.

    - - - Добавлено - - -

    там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a8...is/1407506390/
    В таком случае удалить ещё три последние строчки.

  14. Это понравилось:


  15. #11
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от regist Посмотреть сообщение
    Вирга, надо смотреть подключённые JS скрипты.


    заархивируйте его с паролем virus и пришлите мне в личку.

    - - - Добавлено - - -

    Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.

    - - - Добавлено - - -

    там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a8...is/1407506390/
    В таком случае удалить ещё три последние строчки.
    Видимо, мне надо очки купить)
    Удалил, теперь всё работает.
    Спасибо за помощь!

  16. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202

    Thumbs up

    Цитата Сообщение от Вирга Посмотреть сообщение
    Спасибо.

    Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
    Ровно то, что я подозревал. Хорошо, что проблему удалось разрешить общими усилиями.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

Похожие темы

  1. Ответов: 19
    Последнее сообщение: 13.03.2014, 21:37
  2. Ответов: 11
    Последнее сообщение: 28.04.2013, 19:55
  3. Ответов: 4
    Последнее сообщение: 06.02.2013, 17:42
  4. Ответов: 2
    Последнее сообщение: 15.02.2012, 18:40
  5. HEUR:Trojan.Script.Generic
    От Tiberius в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 06.02.2010, 03:19

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01155 seconds with 20 queries