E ci risiamo con l’Avast che vi inchioda mentre scaricate da xDccMule per la pseudo presenza di script PHP che portano virus del tipo URL:Mail e cerco di far mente locale ad un post dello scorso anno.

Giuseppe mi scrive che dopo aver avviato xdccMule ed entrando nel canale #GlobalFind sul server di Openjoke gli si aprono le pagine web
xdccmule.org
cineapp.xdccmule.org
poi avvia Extdended Global Find v 0.7.5.3 e in questa fase xdccMule.exe ha delle “chiamate” anomale, cioe’ sia l’antivirus che il firewall, intercettano delle pagine web con uno script PHP che porta a un virus chiamato URL:Mail. che tra l’altro non risulta presente sul Pc.
Le pagine dove rileva ilvirus sono queste:

inoltre L’AddOn dice che e’ aggiornato all’ultima versione disponibile e non soffre di bug,
difatti inviando il comando in mirc:
//echo -a %HomeSelect
il risultato (che deve essere compreso fra 1 e 4), risulta 1
Che non e’ stato modificato inviando il comando:
//set %HomeSelect 1
mIRC e’ la ver.6.35 registrata e il S.O. Win10
Inoltre dice che dopo la tentata apertura delle sopracitate pagine in elenco (pop up di avviso dei programmi di protezione) non si riscontrano anomalie o infezioni, dato che i sistemi di protezione impediscono l’apertura delle pagine e l’esecuzione degli script contenuti.

Pero’ cercando di aprire le sopracitate pagine (home page o radice), compare il seguente messaggio di errore (esempio):
Impossibile raggiungere il sito
Impossibile trovare l’indirizzo IP del server di planetario.wklm.it.
Cerca planetario wklm con Google
ERR_NAME_NOT_RESOLVED
NON tentate di aprire direttamente le sopracitate pagine, portano a delle infezioni!!!
Infezione: HTML:RedirBA-inf [Trj]
(Ehmm vedo che hai omesso il www iniziale per evitare che qualcuno ci clicchi sopra)..
Allora cerchiamo di capire come comportarci in quanto gli url che ti vengono segnalati, sono contenuti nel database di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di cio’ che cerchi, esse sono solo testo, quindi non credo che contengano del codice malevolo… ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l’infezione non andrebbe in porto, in GlobalFind e’ comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.

Come avrai potuto notare, tutti fanno capo ad un dominio “wklm.it” presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realta’ il codice malevolo (sempre se esista), si trova nel dominio principale “wklm.it” e non nei sottodomini (quelle che prima sono definito pagine), a controprova di cio’ che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware:

https://www.virustotal.com/#/url/8c2ca0 … /detection

Quindi non pensi che il codice maligno che pochi antivirus vedono potrebbe essere del codice malformato involontariamente, degli errori commessi involontariamente dal webmaster, o semplicemente del codice troppo aggressivo contenuto nei banner pubblicitari? ( per questo andrebbe avvisato il webmaster).

Le pagine da te citate, mostrano un “impossibile raggiungere il sito” perche’ in questo caso manca il “www” (world wide web) d’avanti, es:

(se ci clicchi sopra il tuo antivirus dovrebbe scattare..almeno credo)

http://www.planetario.wklm.it/ e comunque Globalfind punta a questa: http://www.planetario.wklm.it/scripts.php (risultati solo testo).
Bon possiamo quindi dedurre che Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non e’ in grado di processarlo, quindi dormi sonni tranquilli.
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in Windows 10 e non mi segnala malware.
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell’antivirus, o in alternativa, se vogliamo esser pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati.

Se si opta per questa ultima opzione, ricordiamoci che ad ogni aggiornamento del database standard (DataBase.db) dovremo aggiornare manualmente il database custom (Custom.db o come lo si vuol chiamare).

Ricordo soprattutto che xdccMule non e’ legato in nessun modo ai siti, pagine, domini presenti nel database e io continuero’ a scaricare giornali e riviste e per i film ho il Netflix del mio amico Enrico Legno mi basta ed avanza in quanto non ho ancora avuto il tempo di vederne uno completo e vi auguro buona festa lasciandovi nelle mani di Stefano e le beghe dei viceparlamentari…