Re: AddOn GlobalFind e Virus
Inviato: 11/02/2018, 14:59
Dato che l'argomento potrebbe interessare a molti (domande simili sono state poste più volte tramite mail), cerchiamo di capire passo passo cosa succede...
Gli url che ti vengono segnalati, sono contenuti nel database (database.db) di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di ciò che cerchi, esse sono solo testo, quindi è improbabile che contengano del codice malevolo; ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind è comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.
Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realtà il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima abbiamo definito pagine per comodità), a controprova di ciò che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware: https://www.virustotal.com/#/url/8c2ca0 ... /detection
Orbene 4 motori su 67 ci dicono che c'è del codice malevolo, 1 su 67 è insicuro, io onestamente credo ai 62 che lo danno come pulito.
A mio avviso, il codice maligno che pochi antivirus vedono potrebbe essere del codice malformato involontariamente, degli errori commessi involontariamente dal webmaster, o semplicemente del codice troppo aggressivo contenuto nei banner pubblicitari, per questo andrebbe avvisato il webmaster.
Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perchè in questo caso manca il "www" (world wide web) d'avanti, es: http://www.planetario.wklm.it/ e comunque Globalfind punta a questa: http://www.planetario.wklm.it/scripts.php (risultati solo testo).
Considerazioni finali e personali:
Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non è in grado di processarlo, quindi dormite sonni tranquilli.
Facciamo attenzione ai siti che apriamo con il browser, se non siamo sicuri, non scarichiamo nulla da quel sito (ripeto con il browser).
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in windows 10 e non mi segnala malware.
La qualità di un buon antivirus non si misura sulla base di quante minacce rileva (spesso si tratta di soli falsi positivi).
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se siamo pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati. Se si opta per questa ultima opzione, ricordiamoci che ad ogni aggiornamento del database standard (DataBase.db) dovrete aggiornarvi manualmente il database custom (Custom.db o come volete chiamarlo).
* Per curiosità, quelli che rilevano il malware, per caso hanno tutti lo stesso antivirus (a_v_a_s_t)?
Ringraziando Supermarcobross per la gentile segnalazione, spero di aver chiarito ogni dubbio in merito
p.s.: probabilmente non sono i sistemi di protezione ad impedire infezioni, semplicemente non si può impedire ciò che non c'è 
n.b.: xdccMule non è legato in nessun modo ai siti, pagine, domini presenti nel database.
Gli url che ti vengono segnalati, sono contenuti nel database (database.db) di GlobalFind, praticamente sono le pagine dei canali che GlobalFind scansiona per trovare i risultati di ciò che cerchi, esse sono solo testo, quindi è improbabile che contengano del codice malevolo; ammesso che ne contengano, non essendo GlobalFind un browser non verrebbe processato e l'infezione non andrebbe in porto, in GlobalFind è comunque presente una procedura che rimuove qualsiasi cosa che non sia solo testo.
Come avrai potuto notare, tutti fanno capo ad un dominio "wklm.it" presente su due network (iRC.WilliamGattone.It, irc.uragano.org).
Di conseguenza ne deduco che in realtà il codice malevolo (sempre se esista), si trova nel dominio principale "wklm.it" e non nei sottodomini (quelle che prima abbiamo definito pagine per comodità), a controprova di ciò che scrivo usiamo virustotal, un bel sito che permette di effettuare scansioni online con un buon numero di motori antivirus e antimalware: https://www.virustotal.com/#/url/8c2ca0 ... /detection
Se vogliamo essere pignoli, esistono delle segnalazioni su files scaricabili da wklm.it di dubbia provenienza es.:
https://www.virustotal.com/#/domain/wklm.it
https://www.virustotal.com/#/domain/www ... io.wklm.it
(basta evitare di scaricare con il browser qualsiasi files direttamente dai siti incriminati)
Orbene 4 motori su 67 ci dicono che c'è del codice malevolo, 1 su 67 è insicuro, io onestamente credo ai 62 che lo danno come pulito.A mio avviso, il codice maligno che pochi antivirus vedono potrebbe essere del codice malformato involontariamente, degli errori commessi involontariamente dal webmaster, o semplicemente del codice troppo aggressivo contenuto nei banner pubblicitari, per questo andrebbe avvisato il webmaster.
Le pagine da te citate, mostrano un "impossibile raggiungere il sito" perchè in questo caso manca il "www" (world wide web) d'avanti, es: http://www.planetario.wklm.it/ e comunque Globalfind punta a questa: http://www.planetario.wklm.it/scripts.php (risultati solo testo). Considerazioni finali e personali:Globalfind, ammesso che ci sia del codice malevolo su siti/pagine/domini, non è in grado di processarlo, quindi dormite sonni tranquilli.
Facciamo attenzione ai siti che apriamo con il browser, se non siamo sicuri, non scarichiamo nulla da quel sito (ripeto con il browser).
Gli antivirus spesso segnalano falsi positivi in modo preventivo.
Io uso Windows Defender integrato in windows 10 e non mi segnala malware.
La qualità di un buon antivirus non si misura sulla base di quante minacce rileva (spesso si tratta di soli falsi positivi).
A questo punto direi di mettere quei siti, o xdccMule/GlobalFind fra le eccezioni dell'antivirus, o in alternativa, se siamo pignoli, possiamo ricorrere ad un database custom, eliminando gli indirizzi incriminati. Se si opta per questa ultima opzione, ricordiamoci che ad ogni aggiornamento del database standard (DataBase.db) dovrete aggiornarvi manualmente il database custom (Custom.db o come volete chiamarlo).
* Per curiosità, quelli che rilevano il malware, per caso hanno tutti lo stesso antivirus (a_v_a_s_t)?Ringraziando Supermarcobross per la gentile segnalazione, spero di aver chiarito ogni dubbio in merito
p.s.: probabilmente non sono i sistemi di protezione ad impedire infezioni, semplicemente non si può impedire ciò che non c'è n.b.: xdccMule non è legato in nessun modo ai siti, pagine, domini presenti nel database.