Guide HTML Java Linguaggio C Python JavaScript PHP C++CSS Android Approfondimenti

Combattere gli spyware con Hijackthis

Una breve guida all’uso di Hijackthis, il potente programma di analisi di infezioni di spyware e trojan. Dall’installazione all’interpretazione dei file di log

di Yan Raber
20 Luglio 2005

Le classiche forme di infezione informatica, quelle da virus e worm per esempio, da parecchio tempo hanno una schiera di concorrenti molto numerosa e agguerrita. Spyware, adware, trojan, dialer, keylogger sono tutti agenti estremamente fastidiosi ed invasivi che mettono a repentaglio sicurezza e privacy di milioni di sistemi sparsi nel mondo.

Per tentare di rilevare e combattere queste nuove categorie di malware una serie di software specifici ha affiancato i classici antivirus. In molti casi questi strumenti di rimozione automatica danno buoni risultati ma, si sa, i creatori di programmi dannosi sono sempre un passo più avanti e non sempre i nuovi parassiti informatici vengono rilevati e rimossi.
È nata quindi l’esigenza, da parte dell’utenza più esperta, di un tool di analisi che permetta di controllare manualmente e in modo rapido quelle parti del sistema che più spesso vengono modificate da questi agenti nocivi. A questo scopo Merijn software ha creato Hijackthis.
Si noti che, a differenza degli strumenti automatici, il programma non possiede un database relativo al malware e pertanto non è in grado, da solo, di individuarlo. Hijackthis fornisce semplicemente un elenco di voci che potenzialmente possono essere luogo di infezione. La decisione sui provvedimenti da prendere nei confronti di tali voci è unicamente di pertinenza dell’utente che se ne assume tutta la responsabilità.
Proprio per la natura manuale dell’operazione è sempre consigliato l’utilizzo preliminare del maggior numero di strumenti di scansione automatica a disposizione nel tentativo di risolvere il proprio problema.

In questo articolo si illustreranno le corrette modalità di utilizzo di Hijackthis e si forniranno alcuni suggerimenti per l’interpretazione dei risultati forniti dalla sua scansione.

Download e installazione

La pagina dei download di Merijn contiene vari mirror da cui scaricare il programma che può comunque essere reperito direttamente da qui. La release attualmente disponibile è la 1.99.1 ma si consiglia di visitare periodicamente il sito del produttore per verificare la presenza di nuove versioni in grado di analizzare nuove parti del sistema.

Per un corretto utilizzo del programma è essenziale che vengano seguiti i seguenti passi:

Se si scarica il programma in formato zip è molto importante che venga estratto dall’archivio. Non lanciatelo direttamente dal programma di gestione degli archivi compressi, quali WinZip o WinRar, altrimenti Hijackthis non potrà eseguire il backup delle voci eventualmente eliminate dall’utente. In questo caso, se si sono commessi errori durante la rimozione, non sarà possibile tornare indietro.
Per un corretto funzionamento è consigliabile salvare l’eseguibile estratto Hijackthis.exe in una apposita cartella che avremo creato in una delle seguenti posizioni:
c: c:programmi
Prima di lanciare la scansione è importante chiudere tutti i programmi aperti e tutte le finestre del browser.
Disconnettersi da Internet o dalla rete locale.

A questo punto possiamo lanciare Hijackthis.

Funzionamento

La schermata iniziale del programma presenta vari pulsanti.

Figura 1

Interfaccia

Le voci più importanti sono le seguenti:

Do a system scan and save a logfile: esegue una scansione del sistema e produce il risultato (Log) visualizzandolo nel blocco note. Questa è la funzione più usata quando si rende necessario pubblicare il log su forum specifici presenti su internet per chiedere un consiglio sulle voci da eliminare.
Do a system scan only: esegue una scansione del sistema e presenta le voci solo all’interno del programma. Attraverso questa funzione è possibile selezionare gli elementi incriminati e procedere alla loro rimozione tramite il pulsante Fix checked (figura 2). Dopo l’eliminazione è necessario riavviare il sistema per verificare gli effetti dell’operazione.

Figura 2

Fix correggi

View the list of backups: visualizza l’elenco dei backup effettuati. Da qui è possibile ripristinare voci erroneamente cancellate dall’utente.
Open the Misc Tool section: contiene una serie di strumenti avanzati molto utili all’utente più esperto. Tra i più importanti troviamo:
– Process Manager: visualizza i processi in memoria e ne permette la terminazione.
– Hosts file manager: permette la modifica diretta del file HOSTS
– Delete a file on reboot: permette la cancellazione di file all’avvio della macchina. Questo strumento è utile per eliminare file che in condizioni normali sono bloccati dal malware.
– Delete an NT service: permette l’eliminazione di un servizio nei sistemi NT/2000/XP
– ADS spy (A lternate Data Stream): verifica la presenza di questo nuovo tipo di spyware
– Uninstall manager: gestisce la disinstallazione dei programmi esattamente come farebbe l’applicazione Installazione Applicazioni presente nel pannello di controllo
Altri utili strumenti sono presenti in questa sezione. Tra questi la possibilità di calcolare l’hash MD5 dei file scansionati per una loro univoca identificazione.

Struttura del Log

Il log in formato testuale creato con la funzione Do a system scan and save a logfile è composto da tre parti principali:

Una intestazione di quattro righe in cui è presente la versione del programma, la data e l’ora della scansione, la versione di Windows utilizzata e la versione di Internet Explorer. Queste ultime voci sono importanti per verificare lo stato di aggiornamento del sistema. Un sistema non aggiornato è potenzialmente vulnerabile a nuove infezioni.
La seconda sezione indica tutti i programmi in esecuzione al momento della creazione del log (Running processes). Da qui è possibile individuare eventuali processi non legittimi associati ad oggetti dannosi presenti nel nostro PC.
La terza e ultima sezione è la più importante in quanto visualizza lo stato di tutti gli elementi di sistema che Hijackthis analizza durante la sua scansione. Sono queste le voci su cui l’utente può agire per correggere eventuali malfunzionamenti introdotti dal malware.

Gli elementi dell’ultima sezione sono a loro volta raggruppati in categorie contraddistinte da una lettera e da un numero. Le categorie che iniziano con una R, per esempio, si riferiscono alle impostazioni della pagina iniziale e di ricerca di Internet Explorer. Quelle che cominciano con N si riferiscono invece a Netscape. La categoria O1 indica voci sospette presenti nel file HOSTS che potrebbero redirezionare la nostra navigazione su siti non desiderati o impedirci la visita a siti legittimi. O2 indica tutti i Browser Helper Objects (BHO) caricati da IE mentre O3 si riferisce alle barre degli strumenti. Una voce fondamentale è O4 in cui sono presenti tutti i programmi lanciati automaticamente all’avvio. Altre voci si riferiscono a servizi, protocolli, restrizioni di accesso, plugin aggiuntivi caricati dal sistema.

L’elenco completo di queste categorie può essere reperito direttamente sul sito del produttore. Qui è disponibile una traduzione in italiano.

Strumenti per l’interpretazione del log

Decidere quali voci del log siano imputabili ad elementi dannosi richiede molta esperienza e spesso l’operazione non risulta facile. Questa è la fase in cui bisogna prestare molta attenzione poiché l’eliminazioni delle voci sbagliate può pregiudicare il buon funzionamento del sistema.
In questo paragrafo si indicheranno alcune delle risorse consultabili per aiutarci nella decisione. Per prime si sono elencate le soluzioni adatte ad un utente poco esperto, per ultime quelle che richiedono più esperienza.

Se si è principianti in materia si consiglia di pubblicare il proprio log su un qualche forum di sicurezza in cui persone competenti possano consigliare cosa rimuovere. Merijn fornisce un nutrito elenco di forum in lingua inglese. Se l’inglese non è una lingua familiare è possibile sceglierne uno in italiano come per esempio quello di Html.it.
Importante: l’analisi del log costa tempo e fatica alle persone che frequentano i forum. Per arginare la pubblicazione indiscriminata di log molti moderatori hanno posto delle regole ben precise a cui gli utenti debbono attenersi. In particolare è spesso richiesto l’utilizzo preventivo di tutti i più comuni strumenti di scansione automatica come antivirus e antispyware. L’uso di Hijackthis insomma, viene considerato l’ultima possibilità.

Alcuni siti danno la possibilità di effettuare un’analisi online automatica dei log di Hijackthis basandosi su un proprio database:
I più noti sono:

http://www.hijackthis.de/
http://hjt.iamnotageek.com/

Nelle finestre di questi siti è presente un form in cui è possibile incollare il log e ottenere un responso immediato contenente preziosi suggerimenti sulle voci considerate nocive. Questi siti sono sicuramente molto utili per una prima e sommaria analisi ma si raccomanda di non fidarsi ciecamente. Il database di questi strumenti non è mai completo e spesso alcuni elementi vengono indicati come sospetti semplicemente perché non se ne conosce l’origine. Prima di eliminare una voce si suggerisce quindi di procedere ad una ricerca sulla rete per ulteriori verifiche.

Google è sempre un ottimo alleato. Se ne consiglia l’uso per la ricerca di processi sconosciuti o di altri oggetti presenti nel log di cui si ignora l’origine. Alcuni ottimi siti inoltre mettono a disposizione elenchi di processi, di processi lanciati all’avvio, di servizi, di browser helper objects e altri elementi con l’indicazione della loro provenienza e della loro pericolosità.
Di seguito si fornisce un elenco di alcuni tra i più conosciuti. Questi risulteranno molto utili agli utenti più esperti per determinare la reale pericolosità degli oggetti indicati dal log di Hijsckthis.

Identificazione di processi e dll:
(sono in genere suddivisi tra processi di sistema, processi legittimi non di sistema e processi appartenenti a malware):
http://www.iamnotageek.com/a/file_info.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.neuber.com/taskmanager/process/

Processi eseguiti all’avvio:
http://castlecops.com/StartupList.html
http://startup.iamnotageek.com/
http://www.sysinfo.org/startuplist.php

Identificazione di servizi:
http://service.iamnotageek.com/

Browser Helper Objects e Toolbars:
(viene indicato anche il codice CLSID che identifica l’oggetto, utile per fare ricerche indipendenti del nome del file)
http://castlecops.com/CLSID.html
http://www.sysinfo.org/bholist.php

Elementi specifici appartenenti ad alcune categorie di Hijackthis:

[O9]	Lista dei pulsanti aggiuntivi di Internet Explorer
[O18]	P rotocolli aggiuntivi e hijacker di protocollo
[O20]	AppInit_DLLs e Winlogon Notify
[O21]	ShellServiceObjectDelayLoad
[O22]	Shared Task Scheduler
[O23]	Lista dei servizi di Windows XP/NT

I Video di HTML.it

OrientDB, the 2nd generation of (multimodel) NOSQL

Percorsi formativi correlati

Tutti i linguaggi per diventare uno sviluppatore di app per Android.

Come creare applicazioni per il Web con PHP e MySQL per il DBMS.

Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.

I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.

Diventare degli esperti in tema di sicurezza delle applicazioni Java.

Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.

Le principali guide di HTML.it per diventare un esperto dei database NoSQL.

Ecco come i professionisti creano applicazioni per il Cloud con PHP.

Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.

Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.

Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.

Realizzare applicazioni per il Web utilizzando i framework PHP.

Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.

Percorso base per avvicinarsi al web design con un occhio al mobile.

Realizzare siti Web e Web application con WordPress a livello professionale.

Ti consigliamo anche

Server

Man-in-the-middle e SSL Sniffing

Effettuare un attacco Man-in-the-middle per ottenere informazioni apparentemente sicure, in viaggio su un canale SSL: ecco come fare con Ssltrip.

Server

TeslaCrypt: conoscerlo e difendersi

Imparare a conoscere TeslaCrypt, uno dei più noti e diffusi crypto-ransomware: come agisce ed in che modo è possibile tentare di limitarne le azioni.

Kali Linux: penetration test e forensic analysis pronti all’uso

Dalle ceneri del progetto Backtrack nasce Kali Linux, la nuova distribuzione per penetration test, vulnerability assessment e forensic analysis.

Server

Penetration test con Kali Linux

13 Lezioni
Avanzata

Kali Linux è una delle distribuzioni Linux più utilizzate dagli esperti di cybersecurity, ed include numerosi tool per il penetration test. Questa guida completa e molto pratica illustra come effettuare penetration test con Kali Linux: partendo dall’installazione, la guida offre una panoramica dettagliata su tutti i principali strumenti forniti da questa distribuzione per l’ethical hacking.

Server

Combattere gli spyware con Hijackthis

I Video di HTML.it

OrientDB, the 2nd generation of (multimodel) NOSQL

Android Mobile Developer

DB Administrator

iOS Mobile Developer

Java Developer

Java Security Expert

Maker

NoSQL DB Expert

PHP Cloud Developer

PHP Developer

PHP e JavaScript Developer

PHP eCommerce developer

PHP Framework Expert

PHP SysAdmin

Web & Mobile Designer

WordPress Developer

Man-in-the-middle e SSL Sniffing

TeslaCrypt: conoscerlo e difendersi

Kali Linux: penetration test e forensic analysis pronti all’uso

Penetration test con Kali Linux

Microsoft Defender ATP è anche per Linux

I domini omografi continuano a mietere vittime, anche su HTTPS

Ransomware: a quanto ammontano i riscatti?

Microsoft: DNS over HTTPS su Windows

OnionShare 2.2: HTTP basic authentication e persistent address