xdccmule.org
cineapp.xdccmule.org
poi avvia Extdended Global Find v 0.7.5.3 e in questa fase xdccMule.exe ha delle "chiamate" anomale, cioe' sia l'antivirus che il firewall, intercettano delle pagine web con uno script PHP che porta a un virus chiamato URL:Mail. che tra l'altro non risulta presente sul Pc.
Le pagine dove rileva ilvirus sono queste:
- byhorror.wklm.it/scripts.php?URL:Mal
misterodelcanale.wklm.it/scripts.php?URL:Mal
- boscodellefragole.wklm.it/scripts.php?URL:Mal
- planetario.wklm.it/scripts.php?URL:Mal
galaxy.wklm.it/scripts.php?URL:Mal
w0nder1and.wklm.it/scripts.php?URL:Mal
skyfallmania2.wklm.it/scripts.php?URL:Mal
difatti inviando il comando in mirc:
//echo -a %HomeSelect
il risultato (che deve essere compreso fra 1 e 4), risulta 1
Che non e' stato modificato inviando il comando:
//set %HomeSelect 1
mIRC e' la ver.6.35 registrata e il S.O. Win10
Inoltre dice che dopo la tentata apertura delle sopracitate pagine in elenco (pop up di avviso dei programmi di protezione) non si riscontrano anomalie o infezioni, dato che i sistemi di protezione impediscono l'apertura delle pagine e l'esecuzione degli script contenuti.
Pero' cercando di aprire le sopracitate pagine (home page o radice), compare il seguente messaggio di errore (esempio):
Impossibile raggiungere il sito
Impossibile trovare l'indirizzo IP del server di planetario.wklm.it.
Cerca planetario wklm con Google
ERR_NAME_NOT_RESOLVED
NON tentate di aprire direttamente le sopracitate pagine, portano a delle infezioni!!!
Infezione: HTML:RedirBA-inf [Trj]
(Ehmm vedo che hai omesso il www iniziale per evitare che qualcuno ci clicchi sopra)..
Allora cerchiamo di capire come comportarci in quanto gli url che ti vengono segnalati, sono contenuti nel database di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di cio' che cerchi, esse sono solo testo, quindi non credo che contengano del codice malevolo... ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind e' comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.
Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realta' il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima sono definito pagine), a controprova di cio' che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware:
Se vogliamo essere pignoli, esistono delle segnalazioni su files scaricabili da wklm.it di dubbia provenienza es.:
https://www.virustotal.com/#/domain/wklm.it
https://www.virustotal.com/#/domain/www ... io.wklm.it
Well si nota che 4 motori su 67 ci dicono che c'e' del codice malevolo, 1 su 67 e' insicuro, io percio'credo ai 62 che lo danno come pulito.
Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perche' in questo caso manca il "www" (world wide web) d'avanti, es:
Bon possiamo quindi dedurre che Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non e' in grado di processarlo, quindi dormi sonni tranquilli.
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in Windows 10 e non mi segnala malware.
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se vogliamo esser pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati.
Ricordo soprattutto che xdccMule non e' legato in nessun modo ai siti, pagine, domini presenti nel database e io continuero' a scaricare giornali e riviste e per i film ho il Netflix del mio amico Enrico Legno mi basta ed avanza in quanto non ho ancora avuto il tempo di vederne uno completo e vi auguro buona festa lasciandovi nelle mani di Stefano e le beghe dei viceparlamentari...
Nessun commento:
Posta un commento