Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
learn
About

Combattere gli spyware con Hijackthis

Una breve guida all'uso di Hijackthis, il potente programma di analisi di infezioni di spyware e trojan. Dall'installazione all'interpretazione dei file di log
Una breve guida all'uso di Hijackthis, il potente programma di analisi di infezioni di spyware e trojan. Dall'installazione all'interpretazione dei file di log
Yan Raber
Pubblicato il 20 lug 2005
Link copiato negli appunti

Le classiche forme di infezione informatica, quelle da virus e worm per
esempio, da
parecchio tempo hanno una schiera di concorrenti molto numerosa e agguerrita.
Spyware,
adware,
trojan,
dialer,
keylogger sono tutti agenti estremamente fastidiosi ed invasivi che mettono
a repentaglio sicurezza e privacy di milioni di sistemi sparsi nel mondo.

Per tentare di rilevare e combattere queste nuove categorie di
malware una
serie di software specifici ha affiancato i classici antivirus. In molti casi questi strumenti di rimozione automatica danno buoni risultati
ma, si sa, i creatori di programmi dannosi sono sempre un passo più avanti e non
sempre i nuovi parassiti informatici vengono rilevati e rimossi.
È nata quindi l'esigenza, da parte dell'utenza più esperta, di un tool di
analisi che permetta di controllare manualmente e in modo rapido quelle
parti del sistema che più spesso vengono modificate da questi agenti nocivi. A
questo scopo Merijn software
ha creato Hijackthis.
Si noti che, a differenza degli strumenti automatici, il programma non
possiede un database relativo al malware e pertanto non è in grado, da solo, di
individuarlo. Hijackthis fornisce semplicemente un elenco di voci che
potenzialmente possono essere luogo di infezione. La decisione sui provvedimenti
da prendere nei confronti di tali voci è unicamente di pertinenza dell'utente che
se ne assume tutta la responsabilità.
Proprio per la natura manuale dell'operazione è sempre consigliato l'utilizzo
preliminare del maggior numero di strumenti di scansione automatica a
disposizione nel tentativo di risolvere il proprio problema.

In questo articolo si illustreranno le corrette modalità di utilizzo di
Hijackthis e si forniranno alcuni suggerimenti per l'interpretazione dei
risultati forniti dalla sua scansione.

Download e installazione

La pagina dei
download di Merijn contiene vari mirror da cui scaricare il programma che
può comunque essere reperito direttamente da
qui. La
release attualmente disponibile è la 1.99.1 ma si consiglia di visitare
periodicamente il sito del produttore per verificare la presenza di nuove
versioni in grado di analizzare nuove parti del sistema.

Per un corretto utilizzo del programma è essenziale che vengano seguiti i
seguenti passi:

  • Se si scarica il programma in formato zip è molto importante che
    venga estratto dall'archivio. Non lanciatelo direttamente dal programma di gestione
    degli archivi compressi, quali WinZip o WinRar, altrimenti Hijackthis non potrà
    eseguire il backup delle voci eventualmente eliminate dall'utente.
    In questo caso, se si sono commessi errori durante la rimozione, non sarà
    possibile tornare indietro.
  • Per un corretto funzionamento è consigliabile salvare l'eseguibile
    estratto Hijackthis.exe in una apposita
    cartella che avremo creato in una delle seguenti posizioni:
     c:
     c:programmi

     
  • Prima di lanciare la scansione è importante chiudere tutti i programmi aperti e tutte le finestre del browser.
  • Disconnettersi da Internet o dalla rete locale.

A questo punto possiamo lanciare Hijackthis.

Funzionamento

La schermata iniziale del programma presenta vari pulsanti.

Figura 1

Interfaccia

Le voci più importanti sono le seguenti:

  • Do a system scan and save a logfile: esegue una scansione del
    sistema e produce il risultato (Log) visualizzandolo nel blocco note.
    Questa è la funzione più usata quando si rende necessario pubblicare il log su
    forum specifici presenti su internet per chiedere un consiglio sulle voci da eliminare.
  • Do a system scan only: esegue una scansione del sistema e presenta
    le voci solo all'interno del programma. Attraverso questa funzione è possibile
    selezionare gli elementi incriminati e procedere alla loro rimozione tramite il pulsante
    Fix checked (figura 2). Dopo l'eliminazione è necessario riavviare il
    sistema per verificare gli effetti dell'operazione.

Figura 2 

Fix correggi

 

  • View the list of backups: visualizza l'elenco dei backup
    effettuati. Da qui è possibile ripristinare voci erroneamente cancellate
    dall'utente.
  • Open the Misc Tool section: contiene una serie di strumenti
    avanzati molto utili all'utente più esperto. Tra i più importanti
    troviamo:
    - Process Manager:     visualizza i processi in memoria e ne permette la
    terminazione.
    - Hosts file manager:     permette la modifica diretta del file HOSTS
    - Delete a file on reboot: permette la cancellazione di file all'avvio
    della macchina. Questo strumento è utile per eliminare file che in condizioni
    normali sono bloccati dal malware.
    - Delete an NT service: permette l'eliminazione di un servizio nei
    sistemi NT/2000/XP
    - ADS spy (Alternate
    Data Stream    )    : verifica la presenza di questo nuovo tipo di spyware
    - Uninstall manager    : gestisce la disinstallazione dei programmi
    esattamente come farebbe l'applicazione Installazione Applicazioni
    presente nel pannello di controllo
    Altri utili strumenti sono presenti in questa sezione. Tra questi la
    possibilità di calcolare l'hash MD5 dei file scansionati per una loro
    univoca identificazione.

Struttura del Log

Il log in formato testuale creato con la funzione Do a system scan and save a logfile
è composto da tre parti principali:

  • Una intestazione di quattro righe in cui è presente la versione del
    programma, la data e l'ora della scansione, la versione di Windows utilizzata
    e la versione di Internet Explorer. Queste ultime voci sono importanti per
    verificare lo stato di aggiornamento del sistema. Un sistema non aggiornato è
    potenzialmente vulnerabile a nuove infezioni.
  • La seconda sezione indica tutti i programmi in esecuzione al momento della
    creazione del log (Running processes). Da qui è possibile individuare
    eventuali processi non legittimi associati ad oggetti dannosi presenti nel
    nostro PC.
  • La terza e ultima sezione è la più importante in quanto visualizza lo
    stato di tutti gli elementi di sistema che Hijackthis analizza durante la sua
    scansione. Sono queste le voci su cui l'utente può agire per correggere
    eventuali malfunzionamenti introdotti dal malware.

Gli elementi dell'ultima sezione sono a loro volta raggruppati in categorie
contraddistinte da una lettera e da un numero. Le categorie che iniziano con una
R, per esempio, si riferiscono alle impostazioni della pagina iniziale e di
ricerca di Internet Explorer. Quelle che cominciano con N si riferiscono invece
a Netscape. La categoria O1 indica voci sospette presenti nel file HOSTS che
potrebbero redirezionare la nostra navigazione su siti non desiderati o
impedirci la visita a siti legittimi. O2 indica
tutti i

Browser Helper Objects (BHO) caricati da IE mentre O3 si riferisce alle
barre degli strumenti. Una voce fondamentale è O4 in cui sono presenti tutti i
programmi lanciati automaticamente all'avvio. Altre voci si riferiscono a
servizi, protocolli, restrizioni di accesso, plugin aggiuntivi caricati dal sistema.

L'elenco
completo di queste categorie può essere reperito direttamente sul sito del
produttore.

Qui è disponibile una traduzione in italiano.

Strumenti per l'interpretazione del log

Decidere quali voci del log siano imputabili ad elementi dannosi richiede
molta esperienza e spesso l'operazione non risulta facile. Questa è la fase in
cui bisogna prestare molta attenzione poiché l'eliminazioni delle voci sbagliate
può pregiudicare il buon funzionamento del sistema.
In questo paragrafo si indicheranno alcune delle risorse consultabili per
aiutarci nella decisione. Per prime si sono elencate le soluzioni adatte ad un
utente poco esperto, per ultime quelle che richiedono più esperienza.

Se si è principianti in materia si consiglia di pubblicare il proprio log
su un qualche forum di sicurezza in cui persone
competenti possano consigliare cosa rimuovere. Merijn fornisce un nutrito elenco
di forum in lingua
inglese. Se l'inglese non è una lingua familiare è possibile sceglierne uno
in italiano come per esempio quello di
Html.it.
Importante: l'analisi del log costa tempo e fatica alle persone che
frequentano i forum. Per arginare la pubblicazione indiscriminata di log molti
moderatori hanno posto delle regole ben precise a cui gli utenti debbono
attenersi. In particolare è spesso richiesto l'utilizzo preventivo di tutti i
più comuni strumenti di scansione automatica come antivirus e antispyware. L'uso di Hijackthis insomma, viene
considerato l'ultima possibilità.

Alcuni siti danno la possibilità di effettuare un'analisi online
automatica dei log di Hijackthis basandosi su un proprio database:
I più noti sono:

http://www.hijackthis.de/

http://hjt.iamnotageek.com/

Nelle finestre di questi siti è presente un form in cui è possibile incollare
il log e ottenere un responso immediato contenente preziosi suggerimenti sulle
voci considerate nocive. Questi siti sono sicuramente molto utili per una prima
e sommaria analisi ma si raccomanda di non fidarsi ciecamente. Il database di
questi strumenti non è mai completo e spesso alcuni elementi vengono indicati
come sospetti semplicemente perché non se ne conosce l'origine. Prima di
eliminare una voce si suggerisce quindi di procedere ad una ricerca
sulla rete per ulteriori verifiche.

Google è sempre un ottimo
alleato. Se ne consiglia l'uso per la ricerca di processi sconosciuti o di altri
oggetti presenti nel log di cui si ignora l'origine. Alcuni ottimi siti inoltre
mettono a disposizione elenchi di processi, di processi lanciati all'avvio, di
servizi, di browser helper objects e altri elementi con l'indicazione della loro
provenienza e della loro pericolosità.
Di seguito si fornisce un elenco di
alcuni tra i più conosciuti. Questi risulteranno molto utili agli utenti più esperti
per determinare la reale pericolosità degli oggetti indicati dal log di
Hijsckthis.

Identificazione di processi e dll:
(sono in genere suddivisi tra processi di sistema, processi legittimi non di
sistema e processi appartenenti a malware):

http://www.iamnotageek.com/a/file_info.php

http://www.liutilities.com/products/wintaskspro/processlibrary/

http://www.neuber.com/taskmanager/process/

Processi eseguiti all'avvio:

http://castlecops.com/StartupList.html

http://startup.iamnotageek.com/

http://www.sysinfo.org/startuplist.php

Identificazione di servizi:

http://service.iamnotageek.com/

Browser Helper Objects e Toolbars:
(viene indicato anche il codice CLSID che identifica l'oggetto, utile per
fare ricerche indipendenti del nome del file)

http://castlecops.com/CLSID.html

http://www.sysinfo.org/bholist.php

 Elementi specifici appartenenti ad alcune categorie di Hijackthis:

[O9]  Lista dei
pulsanti aggiuntivi di Internet Explorer
[O18]  Protocolli
aggiuntivi e hijacker di protocollo 
[O20]  AppInit_DLLs e
Winlogon Notify
[O21]  ShellServiceObjectDelayLoad
[O22]  Shared Task
Scheduler
[O23]  Lista dei servizi
di Windows XP/NT
Indice lezioni

Ti consigliamo anche

Sicurezza

Guida a HTTPS e SSL
Sicurezza

Guida pratica alle minacce informatiche
Sicurezza

SocialPhish: scoprire le credenziali dei social tramite phishing
Sicurezza

Come cifrare e decifrare un file in Java