E
ci risiamo con l'Avast che vi inchioda mentre scaricate da xDccMule
per la pseudo presenza di script PHP che portano virus del tipo
URL:Mail e cerco di far mente locale ad un post dello scorso anno.
Giuseppe
mi scrive che dopo aver avviato xdccMule ed entrando nel canale
#GlobalFind sul server di Openjoke gli si aprono le pagine
web
xdccmule.org
cineapp.xdccmule.org
poi avvia Extdended Global Find v 0.7.5.3 e in questa fase xdccMule.exe ha delle "chiamate" anomale, cioe' sia l'antivirus che il firewall, intercettano delle pagine web con uno script PHP che porta a un virus chiamato URL:Mail. che tra l'altro non risulta presente sul Pc.
Le pagine dove rileva ilvirus sono queste:
xdccmule.org
cineapp.xdccmule.org
poi avvia Extdended Global Find v 0.7.5.3 e in questa fase xdccMule.exe ha delle "chiamate" anomale, cioe' sia l'antivirus che il firewall, intercettano delle pagine web con uno script PHP che porta a un virus chiamato URL:Mail. che tra l'altro non risulta presente sul Pc.
Le pagine dove rileva ilvirus sono queste:
- byhorror.wklm.it/scripts.php?URL:Mal
misterodelcanale.wklm.it/scripts.php?URL:Mal
- boscodellefragole.wklm.it/scripts.php?URL:Mal
- planetario.wklm.it/scripts.php?URL:Mal
galaxy.wklm.it/scripts.php?URL:Mal
w0nder1and.wklm.it/scripts.php?URL:Mal
skyfallmania2.wklm.it/scripts.php?URL:Mal
inoltre
L'AddOn dice che e' aggiornato all'ultima versione disponibile e non
soffre di bug,
difatti inviando il comando in mirc:
//echo -a %HomeSelect
il risultato (che deve essere compreso fra 1 e 4), risulta 1
Che non e' stato modificato inviando il comando:
//set %HomeSelect 1
mIRC e' la ver.6.35 registrata e il S.O. Win10
Inoltre dice che dopo la tentata apertura delle sopracitate pagine in elenco (pop up di avviso dei programmi di protezione) non si riscontrano anomalie o infezioni, dato che i sistemi di protezione impediscono l'apertura delle pagine e l'esecuzione degli script contenuti.
Pero' cercando di aprire le sopracitate pagine (home page o radice), compare il seguente messaggio di errore (esempio):
Impossibile raggiungere il sito
Impossibile trovare l'indirizzo IP del server di planetario.wklm.it.
Cerca planetario wklm con Google
ERR_NAME_NOT_RESOLVED
NON tentate di aprire direttamente le sopracitate pagine, portano a delle infezioni!!!
Infezione: HTML:RedirBA-inf [Trj]
(Ehmm vedo che hai omesso il www iniziale per evitare che qualcuno ci clicchi sopra)..
Allora cerchiamo di capire come comportarci in quanto gli url che ti vengono segnalati, sono contenuti nel database di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di cio' che cerchi, esse sono solo testo, quindi non credo che contengano del codice malevolo... ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind e' comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.
Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realta' il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima sono definito pagine), a controprova di cio' che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware:
difatti inviando il comando in mirc:
//echo -a %HomeSelect
il risultato (che deve essere compreso fra 1 e 4), risulta 1
Che non e' stato modificato inviando il comando:
//set %HomeSelect 1
mIRC e' la ver.6.35 registrata e il S.O. Win10
Inoltre dice che dopo la tentata apertura delle sopracitate pagine in elenco (pop up di avviso dei programmi di protezione) non si riscontrano anomalie o infezioni, dato che i sistemi di protezione impediscono l'apertura delle pagine e l'esecuzione degli script contenuti.
Pero' cercando di aprire le sopracitate pagine (home page o radice), compare il seguente messaggio di errore (esempio):
Impossibile raggiungere il sito
Impossibile trovare l'indirizzo IP del server di planetario.wklm.it.
Cerca planetario wklm con Google
ERR_NAME_NOT_RESOLVED
NON tentate di aprire direttamente le sopracitate pagine, portano a delle infezioni!!!
Infezione: HTML:RedirBA-inf [Trj]
(Ehmm vedo che hai omesso il www iniziale per evitare che qualcuno ci clicchi sopra)..
Allora cerchiamo di capire come comportarci in quanto gli url che ti vengono segnalati, sono contenuti nel database di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di cio' che cerchi, esse sono solo testo, quindi non credo che contengano del codice malevolo... ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind e' comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.
Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realta' il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima sono definito pagine), a controprova di cio' che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware:
Se vogliamo essere pignoli, esistono delle segnalazioni su files scaricabili da wklm.it di dubbia provenienza es.:
https://www.virustotal.com/#/domain/wklm.it
https://www.virustotal.com/#/domain/www ... io.wklm.it
Well si nota che 4 motori su 67 ci dicono che c'e' del codice malevolo, 1 su 67 e' insicuro, io percio'credo ai 62 che lo danno come pulito.
Quindi
non pensi che il codice maligno che pochi antivirus vedono potrebbe
essere del codice malformato involontariamente, degli errori commessi
involontariamente dal webmaster, o semplicemente del codice troppo
aggressivo contenuto nei banner pubblicitari? ( per questo andrebbe
avvisato il webmaster).
Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perche' in questo caso manca il "www" (world wide web) d'avanti, es:
Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perche' in questo caso manca il "www" (world wide web) d'avanti, es:
(se
ci clicchi sopra il tuo antivirus dovrebbe scattare..almeno credo)
http://www.planetario.wklm.it/
e comunque Globalfind punta a questa:
http://www.planetario.wklm.it/scripts.php
(risultati solo testo).
Bon possiamo quindi dedurre che Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non e' in grado di processarlo, quindi dormi sonni tranquilli.
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in Windows 10 e non mi segnala malware.
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se vogliamo esser pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati.
Bon possiamo quindi dedurre che Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non e' in grado di processarlo, quindi dormi sonni tranquilli.
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in Windows 10 e non mi segnala malware.
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se vogliamo esser pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati.
Se
si opta per questa ultima opzione, ricordiamoci che ad ogni
aggiornamento del database standard (DataBase.db) dovremo aggiornare
manualmente il database custom (Custom.db o come lo si vuol chiamare).
Ricordo soprattutto che xdccMule non e' legato in nessun modo ai siti, pagine, domini presenti nel database e io continuero' a scaricare giornali e riviste e per i film ho il Netflix del mio amico Enrico Legno mi basta ed avanza in quanto non ho ancora avuto il tempo di vederne uno completo e vi auguro buona festa lasciandovi nelle mani di Stefano e le beghe dei viceparlamentari...
Ricordo soprattutto che xdccMule non e' legato in nessun modo ai siti, pagine, domini presenti nel database e io continuero' a scaricare giornali e riviste e per i film ho il Netflix del mio amico Enrico Legno mi basta ed avanza in quanto non ho ancora avuto il tempo di vederne uno completo e vi auguro buona festa lasciandovi nelle mani di Stefano e le beghe dei viceparlamentari...
Nessun commento:
Posta un commento