HEUR:Trojan.Script.Generic lors d'une consultation de site internet.

[Stardix]

Bonjour à tous,je me permets de vous demander votre aide.

En consultant un article sur le site Cultura.com (sous windows 10 et en utilisant google chrome) Kaspersky security cloud (ma version est la suivante : Kaspersky Security Cloud 21.2.16.590(b)  ) s’est subitement mis à m’afficher des alertes de sécurité à la suite (environ une dizaine) me disant qu’un objet malveillant avait été détecté et que son téléchargement avait été interdit.

J’ai été assez surpris car je consulte souvent ce site et c’est la première fois qu’une telle chose arrive.J’ai par la suite effectué deux analyses complètes en utilisant Kaspersky et une en utilisant Malwarebytes et rien n’a été détecté.

Voici deux exemples de rapports de Kaspersky :

Type d'utilisateur :    Utilisateur actif
Nom de l'application :    chrome.exe
Chemin d'accès à l'application :    C:\Program Files\Google\Chrome\Application
Module :    Antivirus Internet
Résultat de description :    Détecté
Type :    Cheval de Troie
Nom :    HEUR:Trojan.Script.Generic
Exactitude :    Analyse heuristique
Niveau de menace :    Élevé
Type d'objet :    Fichier
Nom de l'objet :    la-vengeance-de-siegfried-3760137631924.html
Chemin de l'objet :    https://static.cultura.com/skin/frontend/enterprise/cultura-responsive/js/cultura-oney.js?q=1608307570//https:/www.cultura.com
MD5 :    B9886E989F117AC1766D3149B05BE05D
Raison :    Analyse des experts

 

Suivi de :

Type d'utilisateur :    Utilisateur actif
Nom de l'application :    chrome.exe
Chemin d'accès à l'application :    C:\Program Files\Google\Chrome\Application
Module :    Antivirus Internet
Résultat de description :    Verrouillé
Type :    Cheval de Troie
Nom :    HEUR:Trojan.Script.Generic
Exactitude :    Analyse heuristique
Niveau de menace :    Élevé
Type d'objet :    Fichier
Nom de l'objet :    la-vengeance-de-siegfried-3760137631924.html
Chemin de l'objet :    https://static.cultura.com/skin/frontend/enterprise/cultura-responsive/js/cultura-oney.js?q=1608307570//https:/www.cultura.com
MD5 :    B9886E989F117AC1766D3149B05BE05D
Raison :    Analyse des experts
Date de publication des bases :    Hier, 06/01/2021 21:18:00

 

Je précise que le chemin de l’objet n’est jamais le même sur les différentes alertes.

 

Je me pose donc les questions suivantes: 

-Puis-je être sûr après la notification de téléchargement interdit et mes différentes analyses que mon pc est bel est bien non infecté par un malware ? 

-Le site est-il sûr et s’agit-il d’un faux positif ou est-ce un site devenu dangereux ? 

 

Je remercie d’avance ceux qui voudront bien prendre la peine de m’apporter leur aide.

[AntivirusFrance]

Tu peux remonter l’info à ton support technique…

 

Sinon tu peux aussi remonter l’info au VirusLab via https://opentip.kaspersky.com et tu demandes une “NOUVELLE ANALYSE” du lien, si c’est un FAUX POSITIF ou FP ils feront une maj ASAP

[Acecombat5]

Bonjour

En attendant méfiance car cela m’est déjà arrivé et ce n’était pas un faux positif… 

Vous pouvez aussi le signaler à Cultura (si vous arrivez à les joindre) avec copie de Kaspersky car cela peut aussi venir de leur programmation..

J’ai testé sur le site avec KAV, pas de problème… mais c’est eut être spécifique à un article

[Stardix]

Merci pour vos réponses

 

En fait si je suis venu ici c’est qu’il me semble que comme j’utilise le forfait gratuit de Kaspersky je ne peux pas contacter le support technique (j’espère ne pas me tromper).

 

J’ai donc soumis un des liens pour une nouvelle analyse mais devrais-je le faire pour tout les liens car j’ai eu des chemins d’objets différents pour une même alerte sur une même page ? 

 

J’ai aussi une question importante: si il s’avérait qu’il ne s’agissait pas d’un faux positif,pourrais-je être quasiment sûr (le risque zéro n’existant pas) de ne pas être infecté sachant que le rapport de Kaspersky me dit avoir bloqué le téléchargement et que mes analyses complètes n’ont détectées aucune menace ? C’est surtout ça qui m’inquiète énormément.

 

Et désolé si mes questions paraissent idiotes,je dois avouer ne pas avoir beaucoup de conaissances dans ce domaine.

[AntivirusFrance]

Il n’y a que le VirusLab qui peut confirmer si c’est un FP ou PAS, pour cela il faut leur remonter les informations après si c’est un malware ils te confirmeront cela idem si le code est SAIN ils te le diront et dans ce cas ils feront une maj des bases pour corrections

[Acecombat5]

C’est quel article sur cultura?

 

[Stardix]

C’est quel article sur cultura?

 

Il s’agit d’un bluray  “La vengeance de Siegfried” sortit tout récemment (le 05/01),c’est uniquement sur la page de cet article que Kaspersky a commencé à s’alerter à plusieurs reprises.

 

Il n’y a que le VirusLab qui peut confirmer si c’est un FP ou PAS, pour cela il faut leur remonter les informations après si c’est un malware ils te confirmeront cela idem si le code est SAIN ils te le diront et dans ce cas ils feront une maj des bases pour corrections

Ayant envoyé la requête au viruslab je n’ai donc plus qu’à attendre leur réponse.Mais si il s’avère qu’il s’agit bien d’un malware,que devrais-je faire sachant que rien n’est détecté sur mon pc actuellement ? 

[AntivirusFrance]

j’ai du loupé un truc car dans ta demande tu dis :

 

Résultat de description :    Détecté
Type :    Cheval de Troie
Nom :    HEUR:Trojan.Script.Generic
Exactitude :    Analyse heuristique
Niveau de menace :    Élevé

 

donc il est détecté le seul truc est de savoir si c’est un FP ou pas, vu qu’il est déjà détecté ?

 

[Stardix]

Effectivement,c’est moi qui ai du mal m’exprimer,mais pour chaque alerte de ce type j’ai eu un second rapport identique mais avec:

Résultat de description :    Verrouillé

 

Et quand je regarde les différents rapports de Kaspersky j’ai toujours, dans la colonne évènement de l’antivirus internet  un “un objet malveillant a été détecté” suivi d’un “téléchargement interdit”.Car j’aurais dut le préciser mais ces alertes ont eu lieu avec l’antivirus internet car quand j’analyse mon fichier et mes systèmes je n’ai aucune menace de détectée.

Je pensais donc que Kaspersky avait bloqué le téléchargement d’un potentiel programme malveillant,ce ne serait pas le cas ? 

 

Voici une capture d’écran des rapports:

 

[Acecombat5]

C’est quel article sur cultura?

 

J’ai regardé: KAV ne détecte rien sur cet article, mais il vaut sans doute mieux attendre la réponse du Lab qui est plus qualifié..

Autre possibilité: le Trojan est déjà sur le PC.. donc il n’y a plus qu’a faire une analyse complète du PC, réglages au max et attendre qq heures la détection + le nettoyage/réparation si pas trop de dégats

Cela ne pose pas de problème avec KAV ou KAS payants, pour les autres versions je ne sais pas..

 

[AntivirusFrance]

@Stardix petit retour du VirusLab qui répond en mode Anglais que j’ai traduit vite fait : 

•  Le scénario qui y est hébergé semble propre. Avez-vous rencontré des faux positifs ?
• Nous demandons des traces ou au moins une capture d'écran/un rapport.
• Voici les instructions pour obtenir des journaux de suivi
  • https://support.kaspersky.com/common/diagnostics/12797?utm_source=virus_lab_notifications&utm_medium=email&utm_campaign=virus_lab

• Pour les pages web, veuillez également nous envoyer une archive .mht de la page. Elle est disponible dans le navigateur Internet Explorer à partir du menu contextuel "Enregistrer sous" sur la page.

• Notre équipe d'assistance vous fournira plus de détails si vous avez des problèmes avec cette opération. Pour obtenir de l'aide, veuillez créer une demande de support en utilisant nos portails :

  • pour les produits Grand Public :

    •  

      https://my.kaspersky.com

[Stardix]

Merci pour votre aide à tout les deux.

 

@AntivirusFrance ,serais-tu me dire où je peux transmettre le rapport de l'antivirus internet au VirusLab ?

 

@Acecombat5 , j'ai donc effectué une analyse complète avec le niveau de protection le plus élevé et aucune menace n'a été détectée. De plus j'ai complété cette analyse avec une analyse de Malwerbytes et Spybot. Est-ce que je peux donc considérer mon pc comme sain et être rassuré ?

 

De plus je me posais une question, dans un cas comme celui-ci quand l'antivirus internet me notifie qu'un téléchargement a été bloqué et qu'un objet a été verrouillé c'est bien qu'il a agit et m'a protégé non ? 

[AntivirusFrance]

@Stardix toujours en passant par https://opentip.kaspersky.com, j’ai forcé une analyse manuelle

• https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

Du coup j’ai eu une réponse via newvirus AT kaspersky.com et j’ai pu échanger…

Si K bloque le fichier c’est qu’il est neutralisé et qu’il n’est pas sur ta machine

[Stardix]

@AntivirusFrance merci pour les indications.

Et surtout merci de me confirmer ça, ça me rassure vraiment. J'avais très peur que ma bécane soit infectée, c'est angoissant . Or là avec ce que tu me confirmes (à savoir que si Kaspersky m'indique téléchargement interdit ou que l'objet est verrouillé c'est qu'il est neutralisé) et mes résultats d'analyses je peux considérer ma bécane comme saine non ?

 

Je n'ai plus maintenant qu'à envoyer les rapports au viruslab qu'ils sachent d'où ça provient. 

 

[AntivirusFrance]

Tout a fait :-)

Les faux positifs cela peut exister le 100% n’existe pas mais avec plusieurs couches de protection au sein même d’une solution anti-malware on peut bloquer du malware en mode heuristics

Après quand on a un doute sur un verdict de type HEUR:Trojan.Script.Generic il faut le faire lever par le VirusLabs

Tu sais je me souviens d’il y a quelques années ou un ISP a diffusé pendant une après midi des malwares via sa régie pub qui était sous traitée :(

Bon après il n’y a quoi que +/-450.000 nouveaux codes tous les jours de mémoire :(

 

[Stardix]

Ah oui c’est assez inquiétant cette histoire d’ISP et de malwares.

 

En tout cas merci encore pour ton aide,ça m’a vraiment aidé et rassuré.

 

Dernière petite question,lors de mon analyse complète j’ai obtenu ceci dans le rapport:

 

Type d'utilisateur :    Utilisateur actif
Module :    Recherche de virus
Résultat :    Corrompus
Résultat de description :    Corrompus
Type d'objet :    Fichier
Nom de l'objet :    Crypt.BWG
Chemin de l'objet :    C:\system.sav\logs\SYSINFO.PASS2_SYSTEM.log//

 

Type d'utilisateur :    Utilisateur actif
Module :    Recherche de virus
Résultat :    Corrompus
Résultat de description :    Corrompus
Type d'objet :    Fichier
Nom de l'objet :    SYSINFO.PASS2_SYSTEM.log
Chemin de l'objet :    C:\system.sav\logs

 

 A priori rien de très grave car le résultat de l’analyse restait sans menaces mais saurais-tu ce que ça peut signifier et représenter ?

Je pense que ce n’est rien de très grave,apparement ça pourrait venir de mon pc qui est un hp,mais on est jamais trop prudent. 

[AntivirusFrance]

Malheureusement un grand classique de l’infection il n’y a pas besoin de “traîner” sur des endroits dits “obscurs” sur internet pour récupérer une M.2.0 :(

Il est parfois Vs souvent normal de récupérer des malwares en étant sur un site “officiel” qui en en théorie est “propre”.

Pas tous les serveurs web sont équipés d’une protection Anti-Malware :(, idem avec les serveurs de courriels :(

Il y a  quelques temps, on a bien eu une série de spam / virus diffusés par un gros routeur d’email. Un de leurs clients a été shooté, du coup le routeur a relayé à l’insu de son plein grès du spams et malware :(

Cela arrive à tout le monde enfin cela peut, ne devrait pas, ou va arriver…, on ne sait pas quand mais si tu ne blindes pas les portes cela peut faire très mal

Pour ton chemin “system.sav” cela ressemble fortement à un dossier HP ex de quelques résultats après un coup de DETA et autres. A mon humble avis à regarder sur la KB de HP ?

• Copied log files to system.sav directory.
  • https://ftp.hp.com/pub/caps-softpaq/cmit/HP_SSM.html

[Stardix]

Ca finirait presque par nous rendre parano toutes ces histoires :)

Enfin l’important comme tu le dis c’est d’être bien protégé.

 

Et oui pour le chemin d’objet c’est bien du hp,je m’en suis rendu compte après coup.

 

En tout cas je le redis encore, merci pour ton aide et celle de @Acecombat5.

[AntivirusFrance]

Parano pas forcément bien que parfois il faudrait quand même l’être, mais au moins prudent…  et faire le maximum :-)

[Acecombat5]

Bonjour

De rien, vu les échanges la machine semble bien etre “propre”..

Au cas ou tu aurais des doutes sur l’intégrité du système Windows 10, tu peux utiliser la commande de réparation système bien connue (après désinfection, si c’est nécessaire):

Clic droit sur “Menu Démarrer”, invite de commande (admin), sfc \scannow

Il existe une autre commande plus complète si corruption plus grave, mais avec celle ci c’est déjà pas mal