Heur generic unknown cryptor

Заметки программиста, мысли и полезные ссылки

Однажды утром, я сидел и верстал очередной сайт, как вдруг… мне приходит письмо от заказчика предыдущего, в котором он говорит, что на сайте вирус HEUR:Trojan.Script.Generic и каспер его не пускает.

Я в шоке начал гуглить, что за вирус. Оказалось, что это троян-даунлоадер, то есть сама по себе софтина безвредная, но загружает посетителю сайта вирусню.

Сайт был полностью слит и проверен антивирусом, результат — ни-че-го. Как оказалось, пока сайт не запущен через браузер, никаких вирусов нет. Это происходит из-за того, что весь вирус это проста строчка в коде.

После поиска по всем файлам сайта, а это около 3000 файлов с учетом CMS и встроенного phpMyAdmin заражены, оказались около 150 файлов. Вирус атакует в основном файлы с именем index.* или с расширением .js и дописывается свой код в конец файла.

Для лечения я использовал notepad++.

Если вы тоже столкнулись с этим вирусом на своем сайте, то вам может, пригодится моя инструкция по лечению.

1. весь сайт был скачан ко мне на компьютер
2. в папке с сайтом был произведен поиск в файлах строки «IBM_Compatible.js»
3. все файлы из результатов поиска открыты в notepad++ простым нажатием ctrl+A в результатах поиска, и перетаскиванием выделенных файлов в открытое окно notepad++
4. в notepad++ нажимаем ctrl+H, копируем строку подключения вируса, а поле заменить оставляем пустым
5. нажимаем волшебную кнопку «заменить во всех открытых документах» и вирус с позором изгнан из всех файлов
6. сохраняем изменения во всех файлах
7. заливаем их обратно на сервер, принудительно перезаписывая имеющиеся
8. повторно проходимся по главной странице и индексным в подразделах, админке и phpMyAdmin при их наличии
9. при обнаружении остатков вируса, чистим их, вручную удаляя строки из файлов
10. радуемся, что так легко победили зловреда
11. Проверяем антивирусом все компы с которых подключались по фтп к сайту
12. меняем пароли доступа к фтп

Разумеется, это все можно было бы упросить, например, сделав все эти действия скриптом или используя grep на сервере, но в данном случае, главной целью был результат.

На этом все, надеюсь, материал оказался полезным для вас.

А если вы не хотите заморачиваться самостоятельной чисткой, то вы можете заказать ее воспользовавшись формой ниже.

Доброго времени суток. У меня созрела еще одна статья, касающаяся безопасности, а точнее доступа к Вашим сайтам, уважаемые вебмастера… и позвольте мне Вам рассказать.

Угроза «HEUR:Trojan.Script.Generic»

Возможно у Вас есть сайт и Вы не использовали библиотеки типа jQuery, а решили просто на яваскрипте «спагетти-код на сайте намотать» (пусть как я, ради спортивного интереса). И тут Вы наверное даже не ожидаете такой «подлости» от любимого антивируса Касперского, тем более если Вы им не пользуетесь… а пользуется Ваш друг. Он то и увидит такое сообщение на Вашем сайте «объект заражен HEUR:Trojan.Script.Generic»:

А тем временем, другие антивирусы молчат.

Чтобы рассказать Вам в чем тут дело, я вынужден привести код на яваскрипте, поэтому про него и буду рассказывать далее.
Решил значит я с даталистом поиграться для организации автокомплита без сторонних библиотек (появилось в HTML5 такое чудо, да беда у него с русскими буквами правда, пардон за оффтоп).
Написал код формы:

И следом написал, как мне казалось, безобидный код:

Получаем наш троян!
— Где троян? Вы не видите? О, и я тоже не вижу, а Касперский видит!
А видит он его здесь:

Тогда убираем эту строчку и все в порядке — наш скрипт не работает, и антивирус спокоен.

«Разбор полетов»

Значит нужно поковыряться в перехватчике состояния запроса — onreadystatechange.
Нашим лекарством будет отдельная функция, назовем ее updatePage, в которую мы напишем перебор возвращаемого JSON-массива и присвоим ее здесь в нашем перехватчике состояния:

В итоге переписал код так, что антивирус Касперского больше нас не тревожит:

my Kaspersky Security Center 10 Dashboard is reporting HEUR:Generic.Unknown.Cryptor in DevExpressComponents-16.1.7.exe. Can you please clarify?

1 Solution

Thank you for reaching out to us.

I first wanted to emphasize that you can trust the content you’re receiving from DevExpress. All our installation files are digitally signed and have been checked for viruses prior to their distribution on our website. Moreover, a comprehensive antiviral system operates inside our corporate domain, and this effectively protects our software from dangerous invasions. Keeping this in mind, I suggest that you restore this file from quarantine or even temporarily disable your antiviral tools when downloading and installing our products.

All in all, we understand that messages about possible dangerous files are always concerning. We attempted to contact different vendors to address false positive virus warnings associated with our files. While some submissions were successful (e.g. see the T251264: DX 15.1.3 Installer Reported as Threat by Symantec thread), many vendors accept only requests from their clients. Not being a client of Kaspersky Security Center, I will try to reach them via their file submission form. If they respond, I will be sure to inform you. In the meantime, you may contact them directly, as their client.

Let me know if you need any further assistance.