Controllare l'identità di qualunque file con SystemLookup

• Antimalware

E’ recente la notizia della chiusura di CastleCops, sito che da anni forniva un archivio, costantemente aggiornato, contenente informazioni sugli elementi software presenti sul personal computer.
Nel database di CastleCops erano presenti preziosi riferimenti a file assolutamente legittimi così come a quelli collegati all’azione di malware. Per l’utente comune, infatti, uno degli scogli più grossi consiste nel non sapere come identificare in maniera certa molti oggetti presenti sul sistema. Chi sviluppa malware spesso assegna ai file nocivi installati sul personal computer dell’utente, dei nomi che ricordano quelli di file di sistema od applicazioni ben conosciute. Questa prassi può indurre l’utente in errore facendogli credere che un file sia benigno quando, in realtà, è collegato ad un malware presente sul suo sistema.

Come sostituto per CastleCops è possibile orientarsi su un servizio come SystemLookup. Sviluppato da Javacool Software (gli stessi autori di programmi come SpywareBlaster, EULAlyzer, Doc Scrubber e MRU Blaster), SystemLookup dà modo di consultare un ricco database che raccoglie informazioni sulle applicazioni eseguite all’avvio di Windows, sui CLSID (BHO, barra degli strumenti, estensioni per il browser), sui pulsanti aggiunti in Internet Explorer, sui componenti ActiveX eventualmente presenti, sui LSP (Layered Service Providers), sui servizi di sistema e così via.

Ciascun elemento presente negli archivi di SystemLookup è suddiviso in varie categorie alle quali è assegnato, per maggior comodità, l’identificativo con cui il famoso software HijackThis indica ogni oggetto rilevato e preso in esame.

Per i meno esperti, validissimi strumenti diagnostici come HijackThis e Combofix sembrano parlare arabo. Entrambi i programmi, infatti, una volta completata l’analisi, producono un resoconto finale, in formato, testo che raccoglie le informazioni sulla configurazione del sistema. Rispetto ad HijackThis, che integra solamente funzionalità informative, Combofix è anche in grado di eliminare una buona fetta dei malware oggi più diffusi.

In un precedente articolo dedicato ad HijackThis (ved. questa pagina), abbiamo illustrato in che modo il software suddivide i file reperiti sul personal computer dell’utente. Una volta avviato, HijackThis – dopo aver cliccato sul pulsante Do a system scan and save a logfile – esamina tutte le aree del sistema che coinvolgono direttamente la configurazione di Windows. Le stesse aree, così cruciali per il funzionamento di Windows e di molte applicazioni, sono però purtroppo le prime ad essere “infestate” da malware di ogni genere. Ciò perché tali sezioni sono impiegate, anche da programmi del tutto legittimi, per avviarsi automaticamente ad ogni avvio del sistema operativo o per eseguire servizi particolari.
Al termine dell’analisi del sistema, HijackThis produce un file di testo (file di log) contenente tutti i riferimenti agli elementi individuati sul personal computer.

Le aree più importanti sono certamente le seguenti:
– O2, O3, R3. Qui sono visualizzati i cosiddetti CLSID, identificativi composti da una lunga serie di caratteri alfanumerici compresi tra parentesi graffe. HijackThis, dopo ciascun CLSID, riporta solitamente anche il file eseguibile che viene invocato.
Gli elementi mostrati nel gruppo O2 sono oggetti BHO (Browser Helper Objects): le applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle abitudini dell’utente e per sottragli informazioni che lo riguardano.
Al gruppo O3 appartengono invece eventuali barre degli strumenti aggiunte ad Internet Explorer. Molti programmi “benigni” ne fanno uso. Per esempio, Google permette di installare una propria toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per la generazione e gestione di file PDF e così via. Esistono però malware che installano barre degli strumenti addizionali in Internet Explorer con scopi illeciti.
Il gruppo R3 fa invece riferimento ai cosiddetti “Url Search Hook“, utilizzati ogniqualvolta venga digitato un indirizzo nel browser web senza specificare il protocollo da usare (ad esempio http:// oppure ftp://). Quando l’utente inserisce un indirizzo senza specificare il tipo di protocollo, il browser tenterà di stabilirlo autonomamente. In caso di problemi utilizzerà i dati riportati in questo gruppo.
Nel gruppo R3 non devono essere presenti elementi sconosciuti.

– O4. Con l’identificativo O4 vengono evidenziate tutte le applicazioni o le librerie caricate automaticamente ad ogni avvio di Windows. In questa sezione sono presenti elementi inseriti in svariate locazioni del registro di sistema oltre che nel gruppo “Esecuzione automatica” del menù Start, Programmi.

– O9. Pulsanti aggiuntivi per Internet Explorer. Anche in questo caso, alcuni elementi possono essere riconducibili a plug-in assolutamente “benigni” mentre altri possono far capo a pericolosi malware.

– O10. Pressoché la totalità degli elementi raggruppati in O10 sono solitamente maligni (Winsock hijackers altrimenti conosciuti con l’acronimo LSP, Layered Service Providers). Per l’eliminazione degli LSP nocivi è sempre bene procedere con estrema cautela se non si vogliono danneggiare i componenti software di Windows che gestiscono la connessione Internet. Gli LSP permettono di concatenare un componente software con le librerie Winsock 2 (responsabili della gestione della connessione Internet) di Windows. Ogni volta che ci si connette ad Internet, tutto il traffico di rete che passa per Winsock, attraversa anche gli LSP. Spyware, hijackers e malware, sfruttano gli LSP per “spiare” indisturbati tutto il traffico di rete (i.e. possono registrare tutte le operazioni compiute in Rete da parte dell’utente). L’uso del pulsante Fix di HijackThis, per gli elementi del gruppo O10 è assolutamente sconsigliato.
Per rimuovere i componenti maligni del gruppo O10 è necessario servirsi dell’ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software.
In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org (ved. questa pagina).
Nel gruppo O10 potreste vedere anche componenti di software antivirus: in questo caso, non preoccupatevi assolutamente! Ciò può essere del tutto normale se il vostro antivirus opera a livello Winsock.
Anche i prodotti per la virtualizzazione di VMware, ad esempio, utilizzano LSP assolutamente benigni.

– O16. Questa sezione contiene la lista degli oggetti ActiveX prelevati mediante il browser Internet Explorer. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Gli ActiveX sono abbondantemente utilizzati da malware per far danni sul personal computer, molti spyware ne fanno uso e i dialer ricorrono a questa tecnologia per insediarsi sul sistema dell’utente. Gli ActiveX, nelle versioni più recenti di Internet Explorer, si presentano con un avviso di protezione che compare durante la “navigazione” in un sito web; nelle versioni più vecchie – non adeguatamente aggiornate e “patchate” -, gli ActiveX possono essere anche scaricati ed eseguiti automaticamente con i pericoli che ne conseguono.
Oltre agli ActiveX “maligni”, è bene ricordare come in alcuni oggetti di questo tipo, sviluppati da terze parti, possano essere insiti problemi di sicurezza. Stando a quanto dichiarato da Microsoft stessa, nel semestre Gennaio-Giugno di quest’anno, apparirebbe evidente come tanti attacchi abbiano sfruttato vulnerabilità presenti nei controlli ActiveX sviluppati da terze parti.
Buoni passi in avanti sono stati compiuti con il rilascio di Internet Explorer 7 che provvede a bloccare, in modo predefinito, molti ActiveX richiedendo all’utente un’autorizzazione esplicita per consentirne l’esecuzione.
Microsoft, nel corso di diversi “patch day” mensili, è stata tuttavia costretta a rilasciare un aggiornamento per scongiurare eventuali attacchi rivolti nei confronti di componenti ActiveX sviluppati da terze parti. Gli aggiornamenti di solito impostano esclusivamente dei “kill bit”.
Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. Gli aggiornamenti di Microsoft che aggiungono “kill bit” al registro di Windows fanno sì che il caricamento di un ActiveX vulnerabile di terze parti venga impedito.

Se nel gruppo O16 si vedono elencati nomi od indirizzi che non si conoscono, è bene effettuare qualche ricerca approfondita servendosi di Google così come di SystemLookup. Nel caso in cui gli ActiveX eventualmente presenti in lista siano legittimi, è bene accertarsi di utilizzarne l’ultima versione e che non vi siano problemi legati al loro utilizzo (i.e. vulnerabilità di sicurezza ancora irrisolte).

– O18. Protocolli “extra”. Agendo su alcune chiavi contenute nel registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, un malware può così assumere il controllo sulle modalità con le quali il vostro sistema invia e riceve informazioni in Rete.
Molto spesso gli elementi di questo gruppo sono collegati all’azione di componenti malware.

– O20. Questo gruppo raccoglie gli eventuali elementi presenti all’interno della stringa AppInit_DLLs, contenuta nel registro di sistema di Windows. La stringa può contenere una lista di librerie DLL che devono essere inizializzate all’avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, le proprie pericolose librerie. Sono ben pochi i programmi “legittimi” che usano AppInit_DLLs e che quindi possono comparire nel gruppo O20 di HijackThis.

– 021. In quest’area vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l’uso della chiave ShellServiceObjectDelayLoad del registro di sistema.
HijackThis è a conoscenza dei componenti “benigni” che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati nel gruppo O21.
Se HijackThis mostra uno o più elementi all’interno della sezione O21 è quindi altamente probabile che si tratti di componenti pericolosi.

– O22. Questa sezione mostra l’elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Alcuni malware utilizzano questo espediente per “autoeseguirsi” all’avvio del sistema operativo.

– O23. Il gruppo che contiene tutti i servizi di sistema attualmente in uso in Windows. Il software HijackThis mostra in elenco sia i servizi in esecuzione che quelli al momento arrestati. Gran parte dei servizi elencati sono installati per opera di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurati come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo).

Una volta che si è prodotto il file di log attraverso l’uso di HijackThis, se si hanno dubbi sull’identità dei vari elementi riportati nel resoconto finale generato dal programma, è possibile ricorrere alla consultazione del database di SystemLookup.
Collegandosi con questa pagina, si può avviare una ricerca tra tutti i vari gruppi. Ad esempio, supponiamo di nutrire qualche dubbio sulla seguente riga di un ipotetico log prodotto da HijackThis:

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\AntiVir PersonalEdition Classic\avguard.exe

Digitando avguard.exe (file eseguibile desunto dal log di HijackThis) nella casella di ricerca, si otterranno tutte le occorrenze del file all’interno degli archivi di SystemLookup.

Poiché il file è stato indicato da HijackThis come appartenente al gruppo O23, ovvero risulta configurato come servizio di sistema, è immediato verificare come si tratti, in ogni caso, di un componente necessario per il funzionamento del software antivirus Avira Antivir. La lettera “L” di colore verde (colonna Status) suggerisce che trattasi di un file assolutamente legittimo.

Cosa diversa sarebbe stata se avessimo avuto a che fare con un file omonimo, facente però parte, come si vede, del gruppo O4 (“Startup entry“) e memorizzato nella cartella di Windows (%windir%). Come spiega brevemente l’analisi riportata su SystemLookup, si sarebbe trattato del worm Netsky.

Per evitare di far confusione, è sempre bene individuare prima il gruppo di appartenenza del file del quale si intende stabilire l’identità facendo riferimento al log di HijackThis (O1, O2, O3,…) quindi cliccando sul link Browse by list di SystemLookup. A questo punto si dovrà selezionare il gruppo d’interesse ed indicare il file cercato.

Le ricerche su SystemLookup possono essere avviate per nome del file (Filename), eventuale CLSID (CLSID) oppure specificando la descrizione assegnata al file (Name).

Ad esempio, effettuando – dall’ipotetico log di HijackThis – un copia&incolla sulla casella di ricerca di SystemLookup del CLSID (gruppo O2) 18DF081C-E8AD-4283-A596-FA578C2EBDC3 e selezionando CLSID, è immediato accertare che trattasi di un BHO “benigno” per Internet Explorer collegato con Adobe Reader.