HijackThis: guida all'uso con esempi pratici per eliminare malware e spyware

• Antimalware

HijackThis, a differenza di software come Ad-Aware e SpyBot (ampiamente presentati nelle pagine de IlSoftware.it), è un programma, di dimensioni molto contenute (non necessita d’installazione e pesa meno di 200 KB), che permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e “malware” in generale.

Una domanda frequente tra i lettori iscritti al nostro forum è la seguente:
<<Perché pur utilizzando con regolarità software come SpyBot e Ad-Aware – sempre aggiornati tramite l’apposita funzione di Update integrata in ciascun programma – noto comportamenti strani (home page di Internet Explorer modificata, apertura di finestre che pubblicizzano siti pornografici o casinò online, programmi in esecuzione mai installati…)?>>

La risposta è semplice: generalmente tali comportamenti sono dovuti all’attività di spyware, hijackers o malware installatisi sul vostro personal computer e non rilevati da SpyBot e Ad-Aware (è possibile che lo siano, comunque, con il rilascio di aggiornamenti successivi).

HijackThis è il software che permette di comprendere le cause di comportamenti “sospetti” del browser e del sistema in generale, anche qualora software come SpyBot o Ad-Aware non abbiano segnalato la presenza di componenti pericolosi. Purtroppo, pur rappresentando una soluzione definitiva per i problemi lamentati dai lettori, HijackThis è in genere poco utilizzato soprattutto per l’apparente difficoltà di utilizzo.

Il vantaggio principale di HijackThis consiste nella possibilità di creare automaticamente un file di testo (log) che riassuma in modo particolareggiato la configurazione del sistema. In particolare, il file di log registra la configurazione e lo stato di tutte le aree del sistema operativo utilizzate dai malware per svolgere le loro pericolose attività. Analizzando il log restituito da HijackThis è quindi possibile individuare immediatamente la presenza di un componente ostile sul sistema e procedere subito alla sua eliminazione.

L’importante (come sottolinea anche il messaggio d’allerta visualizzato al primo avvio di HijackThis) è non cancellare per nessun motivo gli elementi dei quali non si conosca l’esatto significato. In caso contrario si rischierebbe di causare danni più o meno gravi al sistema operativo.

Una volta scaricato l’archivio ZIP di HijackThis (ved. questa pagina), suggeriamo di estrarre il file HijackThis.exe in esso contenuto in una cartella creata “ad hoc” (esempio: C:\HijackThis).

A questo punto, per avviare HijackThis, fate doppio clic sul file eseguibile HijackThis.exe: verrà visualizzata la schermata di benvenuto del programma. Per procedere alla creazione del file di log – che registra lo stato del vostro sistema – cliccate sul pulsante Do a system scan and save a logfile. Al termine dell’operazione di scansione del sistema, verrà proposta la classica finestra tramite la quale si dovrà assegnare un nome al file di log generato ed indicare la cartella ove lo si vuole memorizzare.
Il contenuto del file di log creato, sarà quindi mostrato tramite il “Blocco Note” di Windows.

Osservate come la prima parte del file di log (dopo le righe relative alla versione di HijackThis con la quale si è effettuata la scansione, data e ora della stessa, piattaforma in uso, versione di Internet Explorer installata), venga riportata la lista dei processi in esecuzione (Running processes). Conoscere la lista dei processi attivi è cosa assai importante perché permette di identificare a colpo d’occhio la presenza di eventuali eseguibili sospetti (collegabili quindi a malware in esecuzione sul personal computer).

Le righe successive (contrassegnate con identificativi variabili: R0, R1, O1, O2, etc…) riportano lo stato di configurazione di varie aree-chiave del sistema operativo. Per “sbarazzarsi” di un malware è necessario agire proprio su queste voci eliminando quelle pericolose (create, appunto, da parte di componenti nocivi insediatisi sul vostro sistema).

E’ opportuno rimarcare ancora una volta che le voci indicate in questa zona del file di log non sono assolutamente tutte nocive: anzi, gran parte di esse sono legate a componenti indispensabili del sistema operativo, al corretto funzionamento di dispositivi hardware (scheda video, modem, etc…) o di programmi specifici – generalmente residenti in memoria – quali antivirus, firewall, utility di sistema e così via.
Altri elementi, invece, riguardano la presenza di plug-in per il browser (toolbar, oggetti BHO, etc…): anche questo caso alcuni sono benigni (installati – tanto per fare qualche esempio – dal download manager in uso, da Adobe Acrobat, dalla toolbar di Google, da SpyBot S&D,…) altri assolutamente dannosi (malware).
Il problema risiede proprio nel distinguere gli elementi pericolosi (da neutralizzare immediatamente) da quelli assolutamente benigni. Più avanti ci proponiamo di offrirvi tutta una serie di suggerimenti che consentano di districarvi senza problemi.

Portandosi nella finestra di HijackThis, è facile accorgersi come questa ora riproponga l’intero contenuto del file di log poco fa generato (fatta eccezione per le informazioni iniziali e quelle relative ai processi in esecuzione): selezionando ciascun elemento quindi cliccando su Info on selected item, è possibile ottenere delle informazioni (in inglese) sull’oggetto.

Le aree (o “gruppi”) all’interno delle quali HijackThis classifica tutti gli elementi trovati nelle “aree-chiave” del sistema:

– R0, R1, R2, R3 – Pagina iniziale / motore di ricerca predefinito di Internet Explorer
Si tratta di aree del sistema spesso prese di mira dagli hijackers che spesso sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.
– F0, F1 – Programmi che vengono avviati automaticamente da system.ini / win.ini
– N1, N2, N3, N4 – Pagina iniziale / motore di ricerca predefinito di Netscape
– O1 – Reindirizzamento tramite file HOSTS
Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per esempio, potrebbe capitare, digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente “proiettati” verso siti web che non avete assolutamente richiesto
– O2 – Browser Helper Objects (li abbiamo conosciuti nella scorsa uscita della mailing list)
– O3 – Barre degli strumenti di Internet Explorer
– O4 – Programmi avviati automaticamente dal Registro di sistema
– O5 – Opzioni di IE non visibili nel Pannello di controllo
– O6 – Opzioni di IE il cui accesso è stato negato da parte dell’amministratore
– O7 – Accesso al registro di sistema negato da parte dell’amministratore
– O8 – Oggetti “extra” inseriti nel menù contestuale (quello che compare cliccando con il tasto destro del mouse) di Internet Explorer
– O9 – Oggetti “extra” nella barra degli strumenti di Internet Explorer o nel menù “Strumenti” del browser
– O10 – Winsock hijacker
– O11 – Gruppi aggiuntivi nella finestra “opzioni avanzate” di IE
– O12 – Plug-in di IE
– O13 – IE DefaultPrefix hijack
– O14 – ‘Reset Web Settings’ hijack (modifiche della configurazione di Internet Explorer)
– O15 – Siti indesideati nella sezione “Siti attendibili” di IE
– O16 – Oggetti ActiveX (alias “Downloaded Program Files”)
– O17 – Lop.com domain hijackers
– O18 – Protocolli “extra” e protocol hijackers
– O19 – User style sheet hijack
– O20, O21, O22 – Programmi eseguiti automaticamente all’avvio di Windows tramite particolari chiavi del registro
– O23 – Servizi di sistema (NT/2000/XP/2003) sconosciuti

Analizziamo più da vicino tutte le aree sopra citate.

I primi 15 gruppi di HijackThis

Gruppo R0, R1, R2, R3. Si tratta di aree del sistema spesso prese di mira dagli hijackers che spesso sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.

Esempi di valori validi sono i seguenti:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Queste due voci compaiono, per esempio, qualora si sia deciso di impostare il motore di ricerca Google come pagina iniziale di Internet Explorer. Quello che segue è invece un esempio di un comune hijacker (un malware che modifica la pagina iniziale di Internet Explorer):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)

In questi casi è bene prendere nota del nome del file indicato, riavviare il sistema in modalità provvisoria, eliminare manualmente il file quindi selezionare la casella corrispondente in HijackThis e premere il pulsante Fix.

Per quanto riguarda gli elementi indicati come R3, è necessario verificare se sono riferibili a programmi che si sono installati (es.: Copernic) per nostra volontà, sul sistema. In caso contrario, è necessario eliminare le voci sospette usando il pulsante Fix.

Gruppo F0, F1, F2, F3. Si tratta di programma che vengono avviati automaticamente da system.ini o win.ini, file di inizializzazione del sistema utilizzati ampiamente nelle versioni più vecchie di Windows (i.e. Windows 3.1x e Windows 9x). Come suggerito anche dagli sviluppatori, gli elementi in F0 sono generalmente nocivi e devono essere neutralizzati con il pulsante Fix. Tutte le voci qui visualizzate (eccetto explorer.exe) sono da ritenersi altamente sospette). Se comunque, dopo la voce explorer.exe si trova il riferimento ad un altro file eseguibile, si tratta quasi certamente di un malware da eliminare.

Gli oggetti del gruppo F1 si riferiscono a programmi molto vecchi (stringhe Load= e Run= del file win.ini): è bene ricercare in Rete informazioni su di essi prima di provvedere ad un’eventuale eliminazione (pulsante Fix di HijackThis).

Suggeriamo, a tal proposito di fare riferimento alla pagina a questa pagina ed a questo indirizzo per scoprire se trattasi di malware o meno. Qualora non si dovessero reperire informazioni in questo sito web, è caldamente consigliato effettuare una ricerca con Google basata sul nome del file eseguibile indicato in F1.

Le voci contenute nei gruppi indicati con F2 e F3 vengono anch’esse caricate all’avvo di Windows, ma non si poggiano sulle vetuste fondamenta delle precedenti versioni del sistema operativo (win.ini / system.ini). Piuttosto, in questo, caso vengono utilizzate le seguenti chiavi del registro di Windows NT/2000/XP:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

La prima chiave del registro è mantenuta in Windows NT/2000/XP per questioni di compatibilità con Windows 9x mentre la seconda contiene informazioni su eventuali applicazioni da eseguire dopo il login dell’utente. USERINIT.EXE è un file di sistema memorizzato nella cartella di sistema di Windows (generalmente \WINDOWS\SYSTEM32 o \WINNT\SYSTEM32). Se, dopo il riferimento a userinit.exe, si trova un file eseguibile sconosciuto, potrebbe trattarsi con buona probabilità di un trojan o comunque di un malware. Un esempio:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\nomedelmalware.exe

Gruppo N1, N2, N3, N4. Questi elementi fanno riferimento alla pagina iniziale di Netscape 4, 6, 7 e Mozilla. Tali dati sono memorizzati di solito nel file prefs.js, contenuto nella cartella del browser. Anche in questo caso, qualora si identificassero elementi sospetti è necessario servirsi del pulsante Fix di HijackThis.

Gruppo O1. Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per esempio, potrebbe capitare, digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente “proiettati” verso siti web che non avete assolutamente richiesto. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che state utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella \SYSTEM32\DRIVERS\ETC.
Il file HOSTS permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: un pò quello che fa il server DNS del provider Internet.
Se l’associazione IP – indirizzo web mnemonico visualizzata in O1 non è corretta, è possibile che ciò sia dovuto all’attività di un malware: usare il pulsante Fix per risolvere il problema.

Gruppo O2. Gli elementi di questo gruppo fanno riferimento ad oggetti BHO (Browser Helper Objects): le applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini e per rubare dati che vi riguardano.

In questo caso è di solito abbastanza agevole riconoscere subito i componenti benigni: oltre ad un lungo identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, è solitamente indicato il percorso del file (in genere una libreria DLL) usata dal BHO. Per esempio, se si vede c:\Acrobat 5.0\Reader\… è ovvio che, con buona probabilità, trattasi di un componente benigno.

Quelli che seguono sono alcuni esempi di BHO assolutamenti benigni (il primo fa riferimento ad Acrobat Reader 5.0, il secondo a SpyBot S&D, il terzo al software di desktop searching di Google, il quarto alla toolbar di Google):

O2 - BHO: (not name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programmi\Google\Google Desktop Search\GoogleDesktopIE.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

Se si hanno dubbi sull’identità di un BHO, suggeriamo di far riferimento alle pagine seguenti (il primo database è in genere più aggiornato del secondo):

– ComputerCops CLSID
– Sysinfo.org BHO List

Qui, indicando l’indentificativo alfanumerico (CLSID), è possibile ottenere tutte le informazioni del caso. Ad esempio, digitando 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 e premendo il pulsante Search si avrà un’ulteriore conferma che il BHO è riferibile a Adobe Acrobat Reader 5.

In entrambi i casi, gli oggetti BHO indicati con una “X” sono da eliminare immediatamente perché parte di malware o comunque di componenti pericolosi.

Gruppo O3. Contiene riferimenti a barre degli strumenti aggiuntive per Internet Explorer. Molti programmi “benigni” ne fanno uso. Per esempio, Google permette di installare una propria toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per la generazione e gestione di file PDF e così via…
Altre volte, invece, la presenza di barre degli strumenti indesiderate è dovuta ad oggetti BHO maligni (rif. gruppo “O2”).
Anche in questo caso è bene verificare agli URL indicati al gruppo “O2”, se trattasi di componenti benigni o meno (in tal caso è necessario far uso del pulsante Fix).

Gruppo O4: programmi in esecuzione automatica

Gruppo O4. Riporta tutti i programmi avviati automaticamente ad ogni ingresso in Windows. Quelle che seguono sono le chiavi del registro di sistema che HijackThis controlla:

HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run

Suggeriamo di verificare agli indirizzi Sysinfo.org e ComputerCops.biz se i vari eseguibili elencati nel gruppo O4 siano maligni o meno (ricordiamo che il sito contrassegna con una “X” i componenti dannosi da eliminare immediatamente).

Alcuni esempi di componenti benigni:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (schede nVidia)
O4 - HKLM\..\Run: [CARPService] carpserv.exe (modem interni)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero Burning Rom)
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s (CloneCD)
O4 - HKLM\..\Run: [Outpost Firewall] C:\Outpost Firewall\outpost.exe /waitservice (Outpost Firewall)
O4 - HKLM\..\Run: [AVG7_CC] C:\AVG7\avgcc.exe /STARTUP (AVG Antivirus)
O4 - HKLM\..\Run: [AVG7_EMC] C:\AVG7\avgemc.exe (AVG Antivirus)
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit (schede nVidia)

Alcuni esempi di componenti pericolosi:

O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\dllmanger.exe
O4 - HKLM\..\Run: [Notepad] notepad.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [nvsv32.exe] nvsv32.exe
O4 - HKLM\..\Run: [winmgr.exe] scvhost.exe
O4 - HKLM\..\Run: [dlite] dllmanager.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Device] C:\WINDOWS\socks.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [eeuw] C:\WINDOWS\sbbwbme.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [sssasas] C:\WINDOWS\sssasas.exe
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe
O4 - HKLM\..\RunServices: [Notepad] notepad.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [nvsv32.exe] nvsv32.exe
O4 - HKLM\..\RunServices: [msrepair] msrepair.exe
O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe
O4 - HKLM\..\RunServices: [winmgr.exe] scvhost.exe
O4 - HKLM\..\RunServices: [dlite] dllmanager.exe

Qualora ai link http://sysinfo.org/startuplist.php e http://computercops.biz/StartupList.html non doveste trovare risposte certe sui vari file presenti nel vostro gruppo O4, vi suggeriamo di effettuare una ricerca mirata in Rete tramite Google! e Google! Groups) specificando come termine da cercare proprio il nome del file eseguibile (es.: sssasas.exe).

Gruppi O5-O12: restrizioni, Winsock hijackers, aggiunte per il browser

Gruppo O5. In condizioni normali, le “Opzioni Internet” di Internet Explorer sono accessibili dal Pannello di controllo di Windows. E’ tuttavia possibile nascondere l’icona “Opzioni Internet” aggiungendo uno speciale parametro (inetcpl=no) all’interno del file di configurazione control.ini, generalmente memorizzato nella cartella d’installazione di Windows.
A meno che la modifica non sia stata voluta da parte dell’amministratore del sistema, potrebbe essere stata causata da un’applicazione maligna che vuole rendere difficoltosa, per l’utente, la modifica delle impostazioni del browser. Per rimuovere questa restrizione, è sufficiente cliccare sul pulsante Fix di HijackThis.

Gruppo O6. L’amministratore di sistema potrebbe avere bloccato la possibilità di modificare le impostazioni di Internet Explorer. Oppure, qualora l’utente abbia deciso di utilizzare le funzioni di SpyBot S&D che consentono di bloccare le impostazioni correnti del browser, HijackThis visualizzerà qualcosa di simile:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Se non è il vostro caso (l’amministratore di sistema non ha applicato restrizioni per impedire la modifica delle opzioni di Internet Explorer; non avete bloccato le impostazioni del browser con SpyBot), è consigliabile servirsi del pulsante Fix di HijackThis: queste modifiche potrebbero essere state infatti effettuate da spyware/malware per rendere problematici interventi risolutori da parte dell’utente.

Gruppo O7. Windows mette a disposizione una particolare impostazione che permette di disabilitare l’accesso al registro di sistema. Qualora HijackThis dovesse mostrare la riga O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 e né voi né l’amministratore di sistema avete applicato restrizioni di accesso al registro di sistema, il consiglio è, anche in questo caso, quello di premere il pulsante Fix.

Gruppo O8. Il menù contestuale è quello che compare facendo clic con il tasto destro del mouse in Internet Explorer. Installando molte applicazioni che si integrano con il browser di casa Microsoft, potreste trovare un gruppo “O8” molto popoloso. Gran parte degli elementi facenti parte di questo gruppo sono “benigni”. Ecco alcuni esempi:

O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Scarica con Download &Express - C:\Download Express\Add_Url.htm
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html

Come si vede, alcuni elementi che compaiono nel menù contestuale, in questo caso, si riferiscono alla toolbar di Google – da noi installata -, alla funzione “Esporta in Microsoft Excel” di Office o a quella che permette il prelievo di un file con il “download manager” Download Express…
Se all’interno del gruppo “O8”, però, alcuni elementi vi sono del tutto sconosciuti ed anzi, risultano sospetti, è possibile che siano parte integrante di spyware e malware da rimuovere subito mediante la pressione del pulsante Fix di HijackThis.

Gruppo O9. Qui vengono inseriti da HijackThis tutti gli elementi che non sono forniti “di serie” con Internet Explorer e che sono stati aggiunti nella barra degli strumenti del browser oppure nel suo menù “Strumenti”. Anche in questo caso, alcuni elementi possono essere riconducibili a plug-in assolutamente “benigni” mentre altri possono far capo a pericolosi malware.

Alcuni esempi di elementi “inoffensivi”:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Se tuttavia, anche qui, alcuni elementi vi sono del tutto sconosciuti ed anzi, risultano sospetti, è possibile che siano parte integrante di spyware e malware da rimuovere subito mediante la pressione del pulsante Fix di HijackThis.

Gruppo O10. Tutti gli elementi raggruppati in “O10” sono solitamente maligni (Winsock hijackers altrimenti conosciuti con l’acronimo LSP, Layered Service Providers). Tuttavia, in questo caso, è bene procedere con estrema cautela se non si vogliono danneggiare i componenti software di Windows che gestiscono la connessione Internet. Gli LSP permettono di concatenare un componente software con le librerie Winsock 2 (responsabili della gestione della connessione Internet) di Windows. Ogni volta che ci si connette ad Internet, tutto il traffico di rete che passa per Winsock, attraversa anche gli LSP. Spyware, hijackers e malware, sfruttano gli LSP per “spiare” indisturbati tutto il vostro traffico di rete (i.e. registrano tutto ciò che fate in Rete).
L’uso del pulsante Fix di HijackThis, per gli elementi del gruppo O10 è assolutamente sconsigliato.
Per rimuovere i componenti maligni del gruppo O10 è necessario servirsi dell’ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software.
In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org (ved. questa pagina).
Nel gruppo O10 potreste vedere anche componenti di software antivirus: in questo caso, non preoccupatevi assolutamente! Ciò può essere del tutto normale se il vostro antivirus opera a livello Winsock.

Gruppo O11. HijackThis inserisce in questo gruppo tutti gli eventuali elementi aggiuntivi inseriti da software di terze parti nella scheda Avanzate di Internet Explorer (Strumenti, Opzioni Internet…).

Facendo riferimento a quanto dichiarato dagli sviluppatori di HijackThis, al momento, l’unico hijackers che aggiunge un proprio elemento nella scheda Avanzate sarebbe il solo “CommonName”:

O11 - Options group: [CommonName] CommonName

Gli elementi di questo gruppo vengono inseriti nel registro di sistema nella chiave seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Gruppo O12. Di solito gli elementi qui contenuti sono benigni. Si tratta di “plug-in” installati da applicazioni sviluppate da terze parti per estendere le funzionalità di Internet Explorer. Ecco alcuni esempi di elementi normali:

O12 - for Plugin spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O12 - for Plugin PDF: C:\Programmi\Internet Explorer\Plugins\nppdf32.dll

In ogni caso è preferibile fare qualche ricerca in Rete, con Google, per verificare l’identità di ogni file classificato come appartenente a questo gruppo.
Solo “OnFlow” aggiunge una entry (.ofb) da eliminare mediante la pressione di Fix.

Gruppi O13-O16: prefix hijackers, reset delle impostazioni di IE, aree di sicurezza e ActiveX

Gruppo O13. Internet Explorer default prefix hijack. Il “prefisso di default” è un’impostazione di Windows che stabilisce il modo con cui vengono trattati gli indirizzi Internet (URL) non preceduti dall’identificativo del protocollo da usare (es.: http://, ftp://, e così via). Per default, Windows antepone il prefisso http:// a tutti gli indirizzi specificati dall’utente. Il prefisso predefinito (http://) può essere modificato con un semplice intervento sul registro di sistema.
Il diffusissimo hijacker CoolWebSearch modifica il prefisso di default sostituendolo con http://ehttp.cc/?.

Ciò significa che non appena digitate solo www.google.com sul browser, verrete ridirezionati su http://ehttp.cc/?www.google.com, sito web di riferimento del componente maligno “CoolWebSearch”.
Alcuni esempi di elementi maligni del gruppo O13 inseriti da CoolWebSearch o da altri malware:

O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

Prima di usare il pulsante Fix, il consiglio è quello di tentare una rimozione di tutte le varianti di CoolWebSearch oggi conosciute servendovi del software gratuito CWShredder, scaricabile da questa pagina.
Dopo la rimozione di CoolWebSearch tramite l’uso di CWShredder, rieseguite nuovamente HijackThis ed eliminate le eventuali voci rimaste nel gruppo O13 con il pulsante Fix.

Gruppo O14. Sul personal computer è memorizzato un file che Internet Explorer utilizza per “resettare” tutte le sue impostazioni ai valori predefiniti configurati al momento dell’installazione di Windows. Il file si chiama \windows\inf\iereset.inf e contiene tutti i parametri che verranno ripristinati in caso di “reset” del browser. Molti componenti maligni modificano il file iereset.inf in modo tale che, qualora tentiate di ripristinare le impostazioni iniziali del browser, Internet Explorer leggerà tutti i parametri impostati dal malware nel file di configurazione! Ecco un esempio:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Usate il pulsante Fix per risolvere il problema.

Gruppo O15. Avviate Internet Explorer quindi cliccate sul menù Strumenti, Opzioni Internet… quindi sulla scheda Protezione: come molti lettori sapranno, il browser di casa Microsoft gestisce in modo differente le risorse provenienti dalla Rete Internet (cliccando sull’icona Internet è possibile verificare come il livello di sicurezza sia impostato – in modo predefinito – su “Media”) e quelle memorizzate sulla Intranet locale (livello di protezione regolato su “Medio-basso”).
L’uso del solo browser, così configurato, può facilitare l’insediamento di pericolosi malware sul personal computer. Chi sviluppa questi dannosi “programmini”, conosce molti espedienti (facilmente reperibili anche in Rete, facendo qualche ricerca) per far credere ad Internet Explorer che i loro “pupilli” facciano parte della Intranet locale o, peggio ancora, dell’area Risorse del computer. Ma perché i malware si sforzano di apparire come programmi appartenenti all’area della Intranet locale? Perché, come detto, il livello di sicurezza impostato per queste due aree è medio-basso o basso: ciò significa che componenti attivi come ActiveX e Java hanno la possibilità di effettuare interventi sul sistema senza restrizioni.

Per difendersi le soluzioni applicabili sono essenzialmente tre (che possono essere comunque combinate tra loro):
– disabilitare in Internet Explorer l’esecuzione di controlli ActiveX, applet Java, Visual Basic Script
– installare un “personal firewall” in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi
– abbandonare Internet Explorer e passare ad un browser web “alternativo”
Per disabilitare, in Internet Explorer, l’esecuzione di componenti potenzialmente dannosi, è sufficiente impostare su Alto il livello di protezione per tutte le aree. In questo modo, il browser sarà al riparo. Come regola generale, è bene mantenere sempre disattivati ActiveX e Java, abilitandoli eventualmente solo ed esclusivamente nel caso in cui si stia visitando un sito assolutamente affidabile.

A meno che non si siano specificati manualmente siti attendibili od indirizzi IP specifici, è bene premere il pulsante Fix per tutte le voci appartenenti a questo gruppo.

Gruppo O16.

Questa sezione contiene la lista degli oggetti ActiveX prelevati (altrimenti conosciuti come “Downloaded Program Files”). Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Gli ActiveX sono abbondantemente utilizzati da malware per far danni sul personal computer, molti spyware ne fanno uso e i dialer ricorrono a questa tecnologia per insediarsi sul sistema dell’utente. Gli ActiveX, nelle versioni più recenti di Internet Explorer, si presentano con un avviso di protezione che compare durante la “navigazione” in un sito web; nelle versioni più vecchie – non adeguatamente aggiornate e “patchate” -, gli ActiveX possono essere anche scaricati ed eseguiti automaticamente con i pericoli che ne conseguono.

Ecco qualche esempio di ActiveX “benigni”:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

Se in lista vedete nomi od indirizzi che non conoscete, suggeriamo di fare una ricerca con Google in proposito in modo da saperne di più. Come regola generale, è bene eliminare immediatamente (pulsante Fix) gli ActiveX contenenti i termini sex, porn, dialer, free, casino, adult. Ecco un esempio:

O16 - DPF: {12398DD6-40AA-4C40-AEC-A42CFC0DE797} (Installer Class) - http://www.xxxto*lbar.com/ist/softwares/v4.0/0006_regular.cab

Gruppi O17-O23: altri espedienti maligni usati da malware e spyware

Gruppo O17. Domain hacks. Alcuni hijackers modificano, con un intervento sul registro di sistema, il server DNS predefinito sostituendo quello da voi scelto con uno proprietario. In questo modo, qualunque URL digitiate nel browser, il DNS dell’hijackers può ridirezionarvi verso il sito che crede.
Se nel gruppo O17 non riconoscete IP appartenenti alla vostra rete locale o comunque alla vostra azienda, servitevi del pulsante Fix di HijackThis.

Gruppo O18. Agendo su alcune chiavi contenute nel registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, un malware può così assumere il controllo sulle modalità con le quali il vostro sistema invia e riceve informazioni in Rete.
I componenti maligni che più comunemente si servono di questi espedienti (gruppo O18) sono CoolWebSearch, Lop.com e Related Links.
Suggeriamo di fare delle ricerche in Rete, con Google, per verificare la “bontà” dei vari file presenti in O18. Segnaliamo anche questa pagina contenente un ottimo database relativo a questa sezione di HijackThis.

Gruppo O19. Style sheet hijacking. Gli “style sheets” o fogli di stile consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Un foglio di stile contiene informazioni sui colori da usare in una pagina html, sulle fonti di carattere scelte, sull’allineamento del testo e così via.
Alcuni malware modificano il foglio di stile sviluppato specificamente per le persone diversamente abili causando la comparsa di numerose finestre popup ed un drastico calo delle performance durante la navigazione in Rete.
Gli elementi che compaiono nel gruppo O19 sono generalmente eliminabili (Fix) senza problemi. HijackThis non elimina i file presenti in questo gruppo, una volta cliccato sul pulsante Fix: è consigliabile riavviare il sistema in modalità provvisoria ed eliminare i file manualmente.

Gruppo O20. La stringa AppInit_DLLs contenuta nel registro di sistema, può contenere una lista di librerie DLL che devono essere inzializzate all’avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, le proprie pericolose librerie.
Sono ben pochi i programmi “legittimi” che usano AppInit_DLLs e che quindi possono comparire nel gruppo O20 di HijackThis.
Se il gruppo O20 contiene uno o più elementi suggeriamo di effettuare una ricerca in Rete con Google tesa ad appurare l’identità di ciascun file. Ottimo il database pubblicato a questo indirizzo.
Dopo aver eliminato gli elementi sospetti con il pulsante Fix, suggeriamo di riavviare il sistema in modalità provvisoria e di cancellare i file manualmente perché HijackThis non è in questo caso in grado di procedere alla loro eliminazione.

Gruppo O21. In quest’area vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l’uso della chiave ShellServiceObjectDelayLoad del registro di sistema.
HijackThis è a conoscenza dei componenti “benigni” che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati nel gruppo O21.
Se HijackThis mostra uno o più elementi all’interno della sezione O21 è quindi altamente probabile che si tratti di componenti pericolosi. Un ottimo database è pubblicato qui.

Gruppo O22. Questa sezione mostra l’elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Alcune varianti di CoolWebSearch utilizzano questo espediente per “autoeseguirsi” all’avvio del sistema operativo.
Agite comunque con estrema cautela nel rimuovere gli elementi visualizzati nella sezione O22 di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. Suggeriamo di effettuare ricerche tramite Google per stabilire se ciascun elemento sia da considerarsi nocivo o meno. E’ possibile trovare molte informazioni in merito in questa pagina.

Gruppo O23. La sezione O23 di HijackThis mostra la lista dei servizi di sistema (Windows NT/2000/XP/2003) che il programma non conosce. Gran parte di essi sono servizi installati da parte di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurate come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo).

Prima di eliminare elementi visualizzati nel gruppo O23, quindi, è bene informarsi sul significato e sulla natura degli stessi. In caso contrario, infatti, alcune applicazioni da voi installate potrebbero non funzionare più od evidenziare problemi di stabilità.

In prima istanza, verificate le proprietà dei vari file (da Risorse del computer) indicati in O23 in modo da ottenere il maggior numero di dati possibili sul produttore. Se non riuscite a reperire alcuna informazione utile oppure se quanto trovato non vi convince, anche in questo caso, provate ad effettuare una ricerca in merito con Google.

Il pulsante Fix di HijackThis disabilita l’avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede all’utente di riavviare il personal computer. HijackThis, però, non elimina “fisicamente” il servizio.

Un servizio collegabile all’azione di un software malware deve poi essere successivamente eliminato in modo manuale servendosi del comando seguente (da inserire al Prompt dei comandi DOS):

sc delete nome_del_servizio

ove nome_del_servizio va sostituito con il nome del servizio che si intende eliminare definitivamente dal proprio sistema.

Ottimi database relativi alla sezione O23 di HijackThis sono consultabili agli indirizzi seguenti:
www.fbeej.dk/O23s.htm
www.antispyware.nextdesigns.net/023l.php

– In conclusione, appare chiaro come l’uso di HijackThis consenta di risolvere brillantemente qualsiasi problema derivante dall’insediamento di spyware, hijackers o malware sul proprio sistema. Il programma, tuttavia, deve essere utilizzato solo se si è assolutamente sicuri di ciò che si sta facendo: l’eliminazione avventata di alcuni elementi può infatti causare problemi di stabilità o malfunzionamenti relativamente al sistema operativo ad alle applicazioni installate.

Se non siete certi di ciò che state facendo, è preferibile – in primo luogo – cercare informazioni in Rete tramite Google ed eventualmente chiedere il parere di utenti più esperti.

Prudenza.