Sicurezza: OTL come evoluzione di HijackThis per i più esperti

• Antimalware
• Rootkit

Tutti conoscono HijackThis e le sue funzionalità principali. Certamente meno noto e molto più recente è il software OTL, un programma che può essere aggiunto alla propria “cassetta degli attrezzi”.
I malware più “moderni” sanno celarsi ai programmi per la sicurezza più conosciuti e spesso i loro componenti non compaiono più nel log di HijackThis. Per lo svolgimento di attività di analisi è quindi bene fare affidamento anche su altri programmi, altrettanto gratuiti.

OTL è un programma ancora poco utilizzato nel nostro Paese ma che è capace di produrre un log completo passando il più possibile inosservato agli eventuali malware presenti sul sistema oggetto di scansione. Si tratta, è bene precisarlo, di un software che propone essenzialmente abilità di tipo diagnostico ma che comunque integra alcuni strumenti per la rimozione diretta delle minacce.
Il suo impiego è comunque consigliato solamente ad utenti evoluti che siano in grado di comprendere il significato di ogni voce.

Una delle possibilità più interessanti messe a disposizione da OTL consiste nelle scansioni di tipo personalizzato. Poggiando su tale caratteristica, si possono generare resoconti finali molto dettagliati, adattandoli alle specifiche esigenze.

OTL può essere impiegato dopo aver effettuato, ad esempio, una scansione con Malwarebytes’ Antimalware e con Combofix per meglio comprendere cosa accade “dietro le quinte” e “stanare” più facilmente i malware che dovessero essere ancora presenti sulla macchina.

Prima di procedere con l’utilizzo di OTL, è bene sottolineare che attualmente (al momento della stesura del presente articolo) un paio di motori di scansione antivirus (CAT-Quickheal ed eSafe; ved. l’analisi disponibile su VirusTotal) indicano come infetto il file eseguibile del programma. Si tratta, ovviamente, di “falsi positivi” ossia di segnalazioni errate dovute ai controlli a basso livello che OTL è in grado di espletare.

Il file eseguibile di OTL (il programma non necessita di installazione) è scaricabile cliccando qui. Come abbiamo già sottolineato, nel caso di altri programmi, potrebbe accadere che – nel caso in cui il sistema fosse infetto – il malware riuscisse ad impedire l’avvio di OTL facendo doppio clic sul file .exe. In questi frangenti, si dovrebbe riuscire a risolvere il problema, ad esempio, rinominando il file .exe con l’estensione .com oppure .scr (l’autore mette a disposizione anche i file già ridenominati: OTL.com e OTL.scr).

Dopo aver eseguito OTL, sui sistemi Windows 7 e Windows Vista si dovrà rispondere in modo affermativo alla comparsa del messaggio di avviso di UAC. OTL presenta la finestra seguente:

L’opzione Use SafeList fa in modo che OTL, durante la scansione, utilizzi una sorta di “lista bianca” contenente più di 600 file sviluppati da Microsoft che sono ritenuti certamente sicuri. In questo modo, tali elementi non compariranno nel file di log.

Il pulsante Quick scan permette di avviare una scansione rapida con le impostazioni di default di OTL (cliccandolo si noterà un’automatica variazione delle impostazioni sottostanti). Il pulsante Run scan, viceversa, consente di eseguire una scansione personalizzata agendo sulle impostazioni elencate nei riquadri presenti nella finestra principale. Questa modalità di scansione è capace di prendere in considerazione, in aggiunta, anche eventuali analisi particolareggiare specificate nell’area Custom scans/Fixes.

Al termine dell’operazione di scansione, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nella medesima cartella del programma.

Nel log generato da OTL, i vari elementi rilevati dal programma sono suddivisi, come nel caso di HijackThis, in più gruppi. Addirittura, gli oggetti segnalati con i codici compresi tra O1 e O24 hanno lo stesso identico significato degli elementi riportati da HijackThis.

Ecco gli altri codici utilizzati per contrassegnare gli altri elementi nel report finale:

PRC – Processi
MOD – Moduli
SRV – Servizi (il gruppo O23 di HijackThis)
DRV – Drivers
IE – Impostazioni di Internet Explorer
FF – Impostazioni di Firefox
O27 – opzioni relative all’apertura dei file d’immagine
O28 – Shell Execute Hooks
O29 – Security Providers
O30 – Lsa
O31 – SafeBoot (impostazioni relative alla modalità provvisoria di Windows)
O32 – File “autorun” presenti nelle unità disco
O33 – MountPoints2
O34 – contenuto della chiave “BootExecute” del registro di Windows
O35 – opzioni legati all’apertura ed all’esecuzione dei file .com e .exe shell
O36 – appcert dlls
O37 – associazioni file ed opzioni correlate

I più esperti possono impartire, ricorrendo al riquadro Custom Scans/Fixes dei comandi evoluti ad OTL.
Ecco alcuni esempi:

CREATERESTOREPOINT

– permette di creare un punto di ripristino di Windows

%systemroot%\system32\nomedelfile.dll /md5

– consente di ottenere la firma MD5 del file specificato (è possibile indicare un singolo file od un insieme di essi, utilizzando le wildchards). La firma MD5 così ottenuta potrebbe essere usata, ad esempio, per effettuare delle interrogazioni su VirusTotal (ved. questa pagina) ed avere un ulteriore riscontro sulla pericolosità o, viceversa, sulla legittimità del file preso in esame.

Lo switch /lockedfiles (esempio: %systemroot%\system32\*.dll /lockedfiles) può essere invece sfruttato per individuare quei file che sono bloccati da parte del sistema operativo e per i quali non è possibile il calcolo della rispettiva firma MD5.

Digitando una chiave del registro di Windows, è possibile ottenere la lista dei valori che essa contiene. Specificando quando segue, per esempio, si può stabilire se il servizio Windows Update risulti o meno attivato (mancata applicazione degli aggiornamenti di sicurezza) sulla macchina oggetto di esame:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

.

Ricorrendo all’area “Custom Scans/Fixes” è anche possibile richiedere ad OTL di effettuare delle variazioni sul sistema in uso rimuovendo file e cartelle collegati all’azione dei malware, eliminando servizi e sistemando il registro di sistema. Speciali comandi – [EMPTYTEMP] ed [EMPTYFLASH] – consentono di eliminare la cache del browser, i file temporanei memorizzati sul sistema in uso ed i “Flash cookies”: utilizzando i due comandi, OTL richiederà generalmente il riavvio di Windows in modo da poter eliminare anche i file temporanei correntemente in uso.
Il comando [RESETHOSTS] consente di “azzerare” il contenuto del file HOSTS di Windows allorquando questo fosse stato modificato da qualche malware.

Nel caso in cui alcune copie di malware fossero stati memorizzati all’interno di precedenti punti di ripristino di Windows, [CLEARALLRESTOREPOINTS] permetterà di eliminare tutti i punti di ripristino esistenti e di produrne uno nuovo, a pulizia conclusa.

Per maggiori informazioni, potete fare riferimento al nostro forum oltre che a questa pagina.
Ricordiamo che OTL visualizza, nei suoi report, sia informazioni che possono essere legate all’attività di malware sia elementi assolutamente benigni. Per evitare di causare danni ai propri sistemi, OTL deve essere impiegato solo ed esclusivamente dagli utenti più esperti.