Где в файле HTML код трояна?

Question

[ChesterLife]

Была попытка атаки путем подмены данных платежного поручения из 1С в банк-клиент. Единственное, что удалось найти это "HEUR:Trojan.Script.Generic", который увидели Касперский и Eset в HTML-файлах с сайта glavbukh.ru. Очень похоже на правду.
Оригиналы обоих HTML доступны по линкам:

https://www.dropbox.com/s/iey0wqp73gkadu8/158401-perenos-vycheta-po-nds-s-2014-na-2016-god%5B1%5D.htm?dl=0

https://www.dropbox.com/s/bfe41dw2zv8rhqc/197499-qqqm1y17-ip-i-fizicheskoe-litso-imushchestvo%5B1%5D.htm?dl=0

Есть идеи где именно здесь "собака зарыта"?

Comments

[Сергей Бровко]

5 строка:

<script type="text/javascript" src="http://ie.kis.v2.scr.kaspersky-labs.com/11804CAD-2B0F-4D49-8AF8-4996359CC17F/main.js" charset="UTF-8"></script>
<script type="text/javascript" src="https://virtual-earth.de/forum/js/cookie.min.js"></script>

Не помню, что касперский какой-то встраиваемый сервис предлагал (да и вообще у них такого домена не существует) и с каких пор у нас js, который связан с кукисами (судя по названию) грузится с какого-то левого немецкого сайта?

Answer 1

[Алексей Пьянов]

Бегло посмотрел файлы - ничего явно троянского нет. Касперский и ESET никаких троянов уже тоже не находят - https://www.virustotal.com/#/file/0cd07ede7698b84f... , https://www.virustotal.com/#/file/4c390f961903e809... . Находит только ZoneAlarm, но он находит это один и не сказать чтобы у них был какой-нибудь особенно хороший антивирус. Скорее всего, это ложноположительное срабатывание.

Я думаю, атаку с подменой данных в платёжном поручении провёл сам бухгалтер, а теперь просто валит всё на вирусы.