AddOn GlobalFind e Virus

Sezione dedicata esclusivamente all'addon GlobalFind

Moderatore: Admin

Rispondi
Supermarcobross
Messaggi: 2
Iscritto il: 06/02/2018, 15:34

AddOn GlobalFind e Virus

Messaggio da Supermarcobross » 06/02/2018, 22:38

Salve a tutti, da Gennaio 2018, ho ripreso a usare i canali iRc e di conseguenza xDcc e riscontro una cosa strana:
poco dopo l'avvio di xDccMule, entrando come sempre fatto nel solo canale #GlobalFind sul server OpenJoke, mi si aprono le solite pagine web di xDccMule
xdccmule.org
cineapp.xdccmule.org
poi avvio Extdended Global Find v 0.7.5.3, ma in questa fase, xdccMule.exe invoca delle "chiamate" anomale, cioè sia l'antivirus che il firewall, intercettano dell pagine web con uno script PHP che porta a un virus chiamato URL:mal. che tra l'altro non risulta presente sul Pc.
Le pagine in questione sono queste:
  • planetario.wklm.it/scripts.php?URL:Mal
    galaxy.wklm.it/scripts.php?URL:Mal
    w0nder1and.wklm.it/scripts.php?URL:Mal
    byhorror.wklm.it/scripts.php?URL:Mal
    misterodelcanale.wklm.it/scripts.php?URL:Mal
    skyfallmania2.wklm.it/scripts.php?URL:Mal
    boscodellefragole.wklm.it/scripts.php?URL:Mal
L'AddOn è aggiornato all'ultima versione disponibile e non soffre di bug,
Inviando il seguente comando in mirc:
//echo -a %HomeSelect
il risultato che deve essere compreso fra 1 e 4, risulta 1
Che non è stato modificato inviando il comando:
//set %HomeSelect 1
mIRC è la ver.6.35 registrata e il S.o. Win7
Qualcuno sa dirmi cosa fare?
Premetto che dopo la tentata apertura delle sopracitate pagine in elenco (pop up di avviso dei programmi di protezione) non si riscontrano anomalie o infezioni, dato che i sistemi di protezione impediscono l'apertura delle pagine e l'esecuzione degli script contenuti.

Cercando di aprire le sopracitate pagine (home page o radice), compare il seguente messaggio di errore (esempio):
Impossibile raggiungere il sito
Impossibile trovare l'indirizzo IP del server di planetario.wklm.it.
Cerca planetario wklm con Google
ERR_NAME_NOT_RESOLVED

NON tentate di aprire direttamente le sopracitate pagine, portano a delle infezioni!!!
Infezione: HTML:RedirBA-inf [Trj]

Sono graditi commenti costruttivi, soluzioni o confronto con situazioni simili, premetto che potrebbe anche essere un qualche programma installato da dicembre ad oggi, ma ne dubito, poiché il problema si presenta solo con l'uso di xDccMule.

Grazie
Il web è un enciclopedia di sapere infinita (o quasi) ma non tutto è oro colato (spesso è oro del Giappone), fai sempre attenzione alle fonti... :D

xdccmule
Amministratore
Messaggi: 99
Iscritto il: 15/11/2009, 22:29

Re: AddOn GlobalFind e Virus

Messaggio da xdccmule » 11/02/2018, 14:59

Dato che l'argomento potrebbe interessare a molti (domande simili sono state poste più volte tramite mail), cerchiamo di capire passo passo cosa succede...
Gli url che ti vengono segnalati, sono contenuti nel database (database.db) di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di ciò che cerchi, esse sono solo testo, quindi è improbabile che contengano del codice malevolo; ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind è comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.

Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realtà il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima abbiamo definito pagine per comodità), a controprova di ciò che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware: https://www.virustotal.com/#/url/8c2ca0 ... /detection
Se vogliamo essere pignoli, esistono delle segnalazioni su files scaricabili da wklm.it di dubbia provenienza es.:
https://www.virustotal.com/#/domain/wklm.it
https://www.virustotal.com/#/domain/www ... io.wklm.it

(basta evitare di scaricare con il browser qualsiasi files direttamente dai siti incriminati)

:!: Orbene 4 motori su 67 ci dicono che c'è del codice malevolo, 1 su 67 è insicuro, io onestamente credo ai 62 che lo danno come pulito.

A mio avviso, il codice maligno che pochi antivirus vedono potrebbe essere del codice malformato involontariamente, degli errori commessi involontariamente dal webmaster, o semplicemente del codice troppo aggressivo contenuto nei banner pubblicitari, per questo andrebbe avvisato il webmaster.

:!: Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perchè in questo caso manca il "www" (world wide web) d'avanti, es: http://www.planetario.wklm.it/ e comunque Globalfind punta a questa: http://www.planetario.wklm.it/scripts.php (risultati solo testo).

:arrow: Considerazioni finali e personali:
Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non è in grado di processarlo, quindi dormite sonni tranquilli.
Facciamo attenzione ai siti che apriamo con il browser, se non siamo sicuri, non scarichiamo nulla da quel sito (ripeto con il browser).
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in windows 10 e non mi segnala malware.
La qualità di un buon antivirus non si misura sulla base di quante minacce rileva (spesso si tratta di soli falsi positivi).

A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se siamo pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati. Se si opta per questa ultima opzione, ricordiamoci che ad ogni aggiornamento del database standard (DataBase.db) dovrete aggiornarvi manualmente il database custom (Custom.db o come volete chiamarlo).

:?: * Per curiosità, quelli che rilevano il malware, per caso hanno tutti lo stesso antivirus (a_v_a_s_t)?


Ringraziando Supermarcobross per la gentile segnalazione, spero di aver chiarito ogni dubbio in merito ;)


:idea: p.s.: probabilmente non sono i sistemi di protezione ad impedire infezioni, semplicemente non si può impedire ciò che non c'è :geek:

:arrow: n.b.: xdccMule non è legato in nessun modo ai siti, pagine, domini presenti nel database.

Supermarcobross
Messaggi: 2
Iscritto il: 06/02/2018, 15:34

Re: AddOn GlobalFind e Virus

Messaggio da Supermarcobross » 13/02/2018, 2:38

Ti ringrazio per la risposta xdccmule.
Nella mia domanda, ho omesso volutamente "www" (che poi sarebbe http://) davanti alle pagine incriminate, onde evitare che qualcuno ci cliccasse sopra, non sapendo tra l'altro se si potevano mettere direttamente i link esterni...

Come ribadisci:
:!: Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perchè in questo caso manca il "www" (world wide web) d'avanti, es: http://www.planetario.wklm.it/ e comunque Globalfind punta a questa: http://www.planetario.wklm.it/scripts.php (risultati solo testo).
L'impossibilità di raggiungere il sito è dovuta al firewall e antivirus (attivi sui Pc) che bloccano l'apertura delle suddette pagine, intercettando il codice maligno che il browser cerca di mandare in esecuzione...
Premetto che i file "scripts.php", contengono una sorta di codice eseguibile in formato testo, PHP è un linguaggio di scripting lato server usato per creare pagine web interattive.
Qui un esempio molto semplice che permette di capire come far visualizzare quello che si vuole in base a come o chi visita la pagina in questione: http://www.phpnews.it/corsi/corso-php-b ... ziona-php/

Preciso che se avvio il solo mIrc, con il browser chiuso, lo script, mi lancia direttamente il browser usato di default sul Pc, aprendo poi le fatidiche pagine in automatico e avviando automaticamente il download della pagina richiamata (di conseguenza, cercando di avviare il malware).

Le macchine interessate, sono i386 con S.o Win7, WIn8 e Win10 (dove si pianta tutto) e piattaforma Mac OS, ovviamente con browser diversi, Crome, Firefox, IE. Gli antivirus installati sono diversi, nei miei casi non è installato A_v_a_s_t (scritto come hai fatto tu anche se non è corretto), gli altri sono da quello integrato in Win10 (che non riconosce praticamente un bel nulla e incasina non poco il Pc) o altri tra i migliori, tipo questi in lista (ovviamente un solo antivirus e firewall per Pc, mai mettere più antivirus, vanno in conflitto di solito) https://www.softstore.it/migliori-antiv ... c-windows/
Su alcuni di questi Pc è installato anche A_d_B_l_o_c_k o programmi analoghi, dove comunque alcune pagine "sponsor" o dei canali dell'addon, dove girano quei banner un po aggressivi (come dici tu), sono già state messe come non bloccate, e mi sembra anche giusto, dato che il fantastico lavoro che c'è dietro e nessuno spesso lo comprende, viene ripagato con i famosi click sui banner!

Personalmente, ho riscontrato questa anomalia solo dopo Natale 2017, e confermo come ti sono arrivate le comunicazioni via email, che anche altre persone si sono trovate ad affrontare questa anomalia specifica, delle pagine di "wklm.it".

Concordo sul fatto che Globalfind non sia in condizione, da solo, di eseguire il codice maligno presente nelle pagine richiamate dallo script.PHP, ma che sia il browser stesso a mandare in esecuzione il malware.
Per molti utenti standard, un database custom, credo sia una soluzione complicata, ma dall'altra parte della medaglia, non mi sentirei di consigliare a questo tipo di utenti di mettere come sicuri i siti incriminati.
Se si fa una scansione, viene fuori questo:
https://www.virustotal.com/#/url/406a44 ... /detection
https://www.virustotal.com/#/url/8c2ca0 ... /detection
Ne deduco che qualche sospetto mi viene...
Tra l'altro anche aprendo le medesime pagine come "http://" e non solo come "www" vengono segnalate!

In questi giorni dovrei entrare in possesso di un Pc (muletto) che posso formattare e installare tutto da zero e che se si perdesse quello che c'è dentro non sarebbe un danno, per cui se fosse il caso potrei vedere cosa succede, permettendo di aprire quelle fatidiche pagine anche senza antivirus o di provare a scaricare con un tools specifico le pagine del sito e vedere che succede...

Per il momento, io vado avanti a chiudere le fastidiose finestre di avviso e a non scaricare un bel nulla dal browser, anche per il fatto che praticamente è da anni che uso mIrc con di default OpenJoke e uragano!
Se riesco ci si aggiorna in seguito, confidando in falsi positivi.
Il web è un enciclopedia di sapere infinita (o quasi) ma non tutto è oro colato (spesso è oro del Giappone), fai sempre attenzione alle fonti... :D

Rispondi

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti