Ricerca

sabato 26 luglio


HijackThis: guida all'uso con esempi pratici per eliminare malware e spyware

HijackThis: guida all'uso con esempi pratici per eliminare malware e spyware

di Michele Nasi (06/04/2005)


HijackThis, a differenza di software come Ad-Aware e SpyBot (ampiamente presentati nelle pagine de IlSoftware.it), è un programma, di dimensioni molto contenute (non necessita d'installazione e pesa meno di 200 KB), che permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e "malware" in generale.

Una domanda frequente tra i lettori iscritti al nostro forum è la seguente:
<<Perché pur utilizzando con regolarità software come SpyBot e Ad-Aware - sempre aggiornati tramite l'apposita funzione di Update integrata in ciascun programma - noto comportamenti strani (home page di Internet Explorer modificata, apertura di finestre che pubblicizzano siti pornografici o casinò online, programmi in esecuzione mai installati...)?>>

La risposta è semplice: generalmente tali comportamenti sono dovuti all'attività di spyware, hijackers o malware installatisi sul vostro personal computer e non rilevati da SpyBot e Ad-Aware (è possibile che lo siano, comunque, con il rilascio di aggiornamenti successivi).

HijackThis è il software che permette di comprendere le cause di comportamenti "sospetti" del browser e del sistema in generale, anche qualora software come SpyBot o Ad-Aware non abbiano segnalato la presenza di componenti pericolosi. Purtroppo, pur rappresentando una soluzione definitiva per i problemi lamentati dai lettori, HijackThis è in genere poco utilizzato soprattutto per l'apparente difficoltà di utilizzo.

Il vantaggio principale di HijackThis consiste nella possibilità di creare automaticamente un file di testo (log) che riassuma in modo particolareggiato la configurazione del sistema. In particolare, il file di log registra la configurazione e lo stato di tutte le aree del sistema operativo utilizzate dai malware per svolgere le loro pericolose attività. Analizzando il log restituito da HijackThis è quindi possibile individuare immediatamente la presenza di un componente ostile sul sistema e procedere subito alla sua eliminazione.

L'importante (come sottolinea anche il messaggio d'allerta visualizzato al primo avvio di HijackThis) è non cancellare per nessun motivo gli elementi dei quali non si conosca l'esatto significato. In caso contrario si rischierebbe di causare danni più o meno gravi al sistema operativo.

Una volta scaricato l'archivio ZIP di HijackThis (ved. questa pagina), suggeriamo di estrarre il file HijackThis.exe in esso contenuto in una cartella creata "ad hoc" (esempio: C:\HijackThis).

A questo punto, per avviare HijackThis, fate doppio clic sul file eseguibile HijackThis.exe: verrà visualizzata la schermata di benvenuto del programma. Per procedere alla creazione del file di log - che registra lo stato del vostro sistema - cliccate sul pulsante Do a system scan and save a logfile. Al termine dell'operazione di scansione del sistema, verrà proposta la classica finestra tramite la quale si dovrà assegnare un nome al file di log generato ed indicare la cartella ove lo si vuole memorizzare.
Il contenuto del file di log creato, sarà quindi mostrato tramite il "Blocco Note" di Windows.

Osservate come la prima parte del file di log (dopo le righe relative alla versione di HijackThis con la quale si è effettuata la scansione, data e ora della stessa, piattaforma in uso, versione di Internet Explorer installata), venga riportata la lista dei processi in esecuzione (Running processes). Conoscere la lista dei processi attivi è cosa assai importante perché permette di identificare a colpo d'occhio la presenza di eventuali eseguibili sospetti (collegabili quindi a malware in esecuzione sul personal computer).

Le righe successive (contrassegnate con identificativi variabili: R0, R1, O1, O2, etc...) riportano lo stato di configurazione di varie aree-chiave del sistema operativo. Per "sbarazzarsi" di un malware è necessario agire proprio su queste voci eliminando quelle pericolose (create, appunto, da parte di componenti nocivi insediatisi sul vostro sistema).

E' opportuno rimarcare ancora una volta che le voci indicate in questa zona del file di log non sono assolutamente tutte nocive: anzi, gran parte di esse sono legate a componenti indispensabili del sistema operativo, al corretto funzionamento di dispositivi hardware (scheda video, modem, etc...) o di programmi specifici - generalmente residenti in memoria - quali antivirus, firewall, utility di sistema e così via.
Altri elementi, invece, riguardano la presenza di plug-in per il browser (toolbar, oggetti BHO, etc...): anche questo caso alcuni sono benigni (installati - tanto per fare qualche esempio - dal download manager in uso, da Adobe Acrobat, dalla toolbar di Google, da SpyBot S&D,...) altri assolutamente dannosi (malware).
Il problema risiede proprio nel distinguere gli elementi pericolosi (da neutralizzare immediatamente) da quelli assolutamente benigni. Più avanti ci proponiamo di offrirvi tutta una serie di suggerimenti che consentano di districarvi senza problemi.

Portandosi nella finestra di HijackThis, è facile accorgersi come questa ora riproponga l'intero contenuto del file di log poco fa generato (fatta eccezione per le informazioni iniziali e quelle relative ai processi in esecuzione): selezionando ciascun elemento quindi cliccando su Info on selected item, è possibile ottenere delle informazioni (in inglese) sull'oggetto.


Le aree (o "gruppi") all'interno delle quali HijackThis classifica tutti gli elementi trovati nelle "aree-chiave" del sistema:

- R0, R1, R2, R3 - Pagina iniziale / motore di ricerca predefinito di Internet Explorer
Si tratta di aree del sistema spesso prese di mira dagli hijackers che spesso sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.
- F0, F1 - Programmi che vengono avviati automaticamente da system.ini / win.ini
- N1, N2, N3, N4 - Pagina iniziale / motore di ricerca predefinito di Netscape
- O1 - Reindirizzamento tramite file HOSTS
Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per esempio, potrebbe capitare, digitando l'URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente "proiettati" verso siti web che non avete assolutamente richiesto
- O2 - Browser Helper Objects (li abbiamo conosciuti nella scorsa uscita della mailing list)
- O3 - Barre degli strumenti di Internet Explorer
- O4 - Programmi avviati automaticamente dal Registro di sistema
- O5 - Opzioni di IE non visibili nel Pannello di controllo
- O6 - Opzioni di IE il cui accesso è stato negato da parte dell'amministratore
- O7 - Accesso al registro di sistema negato da parte dell'amministratore
- O8 - Oggetti "extra" inseriti nel menù contestuale (quello che compare cliccando con il tasto destro del mouse) di Internet Explorer
- O9 - Oggetti "extra" nella barra degli strumenti di Internet Explorer o nel menù "Strumenti" del browser
- O10 - Winsock hijacker
- O11 - Gruppi aggiuntivi nella finestra "opzioni avanzate" di IE
- O12 - Plug-in di IE
- O13 - IE DefaultPrefix hijack
- O14 - 'Reset Web Settings' hijack (modifiche della configurazione di Internet Explorer)
- O15 - Siti indesideati nella sezione "Siti attendibili" di IE
- O16 - Oggetti ActiveX (alias "Downloaded Program Files")
- O17 - Lop.com domain hijackers
- O18 - Protocolli "extra" e protocol hijackers
- O19 - User style sheet hijack
- O20, O21, O22 - Programmi eseguiti automaticamente all'avvio di Windows tramite particolari chiavi del registro
- O23 - Servizi di sistema (NT/2000/XP/2003) sconosciuti

Analizziamo più da vicino tutte le aree sopra citate.
Articolo seguente: Masterizzare l'impossibile: CloneCD, BurnAtOnce, CDBurnerXP e DVD Shrink
Articolo precedente: SyncBack: backup e sincronizzazione per tutti
447887 letture
Ultimi commenti
inviato da FDAC > pubblicato il 03/10/2011 17:54:38
Gira anche su SO a 64 bit, ma non è completamente compatibile con essi. Può essere utile per avere una "visione di insieme", non di certo per fixare voci (sconsigliato, appunto). Ciao.
inviato da jacopo > pubblicato il 03/10/2011 15:31:29
"Ufficialmente" credo non sia compatibile con sistemi a 64 bit, in alternativa puoi utilizzare il più completo Runscanner.
inviato da lello25 > pubblicato il 03/10/2011 14:54:28
Citazione: Ottimo articolo ,completo e chiaro. :approvato:
Ah, quasi dimenticavo la cosa più importante...solita domanda, visto che sul web c'è scritto di tutto e il contrario di tutto : è adatto anche per i sistemi a 64 bit o no e in caso negativo l'alternativa quale sarebbe ? :roll:
inviato da lello25 > pubblicato il 03/10/2011 14:05:43
Ottimo articolo ,completo e chiaro. :approvato:
inviato da Mitiak > pubblicato il 06/09/2010 14:17:13
Ottimo lavoro, grazie per averla messa a disposizione di tutti!
inviato da jacopo > pubblicato il 20/04/2010 00:08:46
Vai nella sezione corretta (nel tuo caso la sez. "Sicurezza e antivirus", clicca sul pulsante "Nuovo argomento", inserisci titolo e corpo e poi clicca su "Invia". :)
inviato da stefyrach > pubblicato il 19/04/2010 22:44:39
Scusami, come posso aprire una nuova discussione? Grazie dell'aiuto =)
inviato da jacopo > pubblicato il 18/04/2010 13:55:06
@ stefyrach Ciao, per questo genere di richieste conviene aprire una nuova discussione all'interno del Forum. ;)


Leggi tutti i commenti

Commenta anche su Facebook

Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Cookies | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS