Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Combattere gli spyware con Hijackthis

Una breve guida all'uso di Hijackthis, il potente programma di analisi di infezioni di spyware e trojan. Dall'installazione all'interpretazione dei file di log
Una breve guida all'uso di Hijackthis, il potente programma di analisi di infezioni di spyware e trojan. Dall'installazione all'interpretazione dei file di log
Link copiato negli appunti

Le classiche forme di infezione informatica, quelle da virus e worm per
esempio, da
parecchio tempo hanno una schiera di concorrenti molto numerosa e agguerrita.
Spyware,
adware,
trojan,
dialer
,
keylogger
sono tutti agenti estremamente fastidiosi ed invasivi che mettono
a repentaglio sicurezza e privacy di milioni di sistemi sparsi nel mondo.

Per tentare di rilevare e combattere queste nuove categorie di
malware una
serie di software specifici ha affiancato i classici antivirus. In molti casi questi strumenti di rimozione automatica danno buoni risultati
ma, si sa, i creatori di programmi dannosi sono sempre un passo più avanti e non
sempre i nuovi parassiti informatici vengono rilevati e rimossi.
È nata quindi l'esigenza, da parte dell'utenza più esperta, di un tool di
analisi che permetta di controllare manualmente e in modo rapido quelle
parti del sistema che più spesso vengono modificate da questi agenti nocivi. A
questo scopo Merijn software
ha creato Hijackthis.
Si noti che, a differenza degli strumenti automatici, il programma non
possiede un database relativo al malware e pertanto non è in grado, da solo, di
individuarlo. Hijackthis fornisce semplicemente un elenco di voci che
potenzialmente possono essere luogo di infezione. La decisione sui provvedimenti
da prendere nei confronti di tali voci è unicamente di pertinenza dell'utente che
se ne assume tutta la responsabilità.
Proprio per la natura manuale dell'operazione è sempre consigliato l'utilizzo
preliminare del maggior numero di strumenti di scansione automatica a
disposizione nel tentativo di risolvere il proprio problema.

In questo articolo si illustreranno le corrette modalità di utilizzo di
Hijackthis e si forniranno alcuni suggerimenti per l'interpretazione dei
risultati forniti dalla sua scansione.

Download e installazione

La pagina dei
download
di Merijn contiene vari mirror da cui scaricare il programma che
può comunque essere reperito direttamente da
qui. La
release attualmente disponibile è la 1.99.1 ma si consiglia di visitare
periodicamente il sito del produttore per verificare la presenza di nuove
versioni in grado di analizzare nuove parti del sistema.

Per un corretto utilizzo del programma è essenziale che vengano seguiti i
seguenti passi:

  • Se si scarica il programma in formato zip
    venga estratto dall'archivio. Non lanciatelo direttamente dal programma di gestione
    degli archivi compressi, quali WinZip o WinRar, altrimenti Hijackthis non potrà
    eseguire il backup delle voci eventualmente eliminate dall'utente.
    In questo caso, se si sono commessi errori durante la rimozione, non sarà
    possibile tornare indietro.
  • Per un corretto funzionamento è consigliabile salvare l'eseguibile
    estratto Hijackthis.exe
    cartella che avremo creato in una delle seguenti posizioni:
     c:
     c:programmi

     
  • Prima di lanciare la scansione è importante chiudere tutti i programmi aperti e tutte le finestre del browser.
  • Disconnettersi da Internet o dalla rete locale.
  • A questo punto possiamo lanciare Hijackthis.

    Funzionamento

    La schermata iniziale del programma presenta vari pulsanti.

    Interfaccia

    Le voci più importanti sono le seguenti:

    • Do a system scan and save a logfile
      sistema e produce il risultato (Log
      Questa è la funzione più usata quando si rende necessario pubblicare il log su
      forum specifici presenti su internet per chiedere un consiglio sulle voci da eliminare.
    • Do a system scan only
      le voci solo all'interno del programma. Attraverso questa funzione è possibile
      selezionare gli elementi incriminati e procedere alla loro rimozione tramite il pulsante
      Fix checked
      sistema per verificare gli effetti dell'operazione.

    Figura 2 

    Fix correggi

     

    • View the list of backups
      effettuati. Da qui è possibile ripristinare voci erroneamente cancellate
      dall'utente.
    • Open the Misc Tool section
      avanzati molto utili all'utente più esperto. Tra i più importanti
      troviamo:
      - Process Manager:

      terminazione.
      - Hosts file manager:

      - Delete a file on reboot:
      della macchina. Questo strumento è utile per eliminare file che in condizioni
      normali sono bloccati dal malware.
      - Delete an NT service:
      sistemi NT/2000/XP
      - ADS spy (A lternate
      Data Stream
      : verifica la presenza di questo nuovo tipo di spyware
      - Uninstall manager

      esattamente come farebbe l'applicazione Installazione Applicazioni
      presente nel pannello di controllo
      Altri utili strumenti sono presenti in questa sezione. Tra questi la
      possibilità di calcolare l'hash MD5
      univoca identificazione.
    • Struttura del Log

      Il log in formato testuale creato con la funzione Do a system scan and save a logfile
      è composto da tre parti principali:

      • Una intestazione di quattro righe in cui è presente la versione del
        programma, la data e l'ora della scansione, la versione di Windows utilizzata
        e la versione di Internet Explorer. Queste ultime voci sono importanti per
        verificare lo stato di aggiornamento del sistema. Un sistema non aggiornato è
        potenzialmente vulnerabile a nuove infezioni.
      • La seconda sezione indica tutti i programmi in esecuzione al momento della
        creazione del log (Running processes
        eventuali processi non legittimi associati ad oggetti dannosi presenti nel
        nostro PC.
      • La terza e ultima sezione è la più importante in quanto visualizza lo
        stato di tutti gli elementi di sistema che Hijackthis analizza durante la sua
        scansione. Sono queste le voci su cui l'utente può agire per correggere
        eventuali malfunzionamenti introdotti dal malware.

      Gli elementi dell'ultima sezione sono a loro volta raggruppati in categorie
      contraddistinte da una lettera e da un numero. Le categorie che iniziano con una
      R, per esempio, si riferiscono alle impostazioni della pagina iniziale e di
      ricerca di Internet Explorer. Quelle che cominciano con N si riferiscono invece
      a Netscape. La categoria O1 indica voci sospette presenti nel file HOSTS che
      potrebbero redirezionare la nostra navigazione su siti non desiderati o
      impedirci la visita a siti legittimi. O2 indica
      tutti i

      Browser Helper Objects

      barre degli strumenti. Una voce fondamentale è O4 in cui sono presenti tutti i
      programmi lanciati automaticamente all'avvio. Altre voci si riferiscono a
      servizi, protocolli, restrizioni di accesso, plugin aggiuntivi caricati dal sistema.

      L'elenco
      completo

      produttore.

      Qui

      Strumenti per l'interpretazione del log

      Decidere quali voci del log siano imputabili ad elementi dannosi richiede
      molta esperienza e spesso l'operazione non risulta facile. Questa è la fase in
      cui bisogna prestare molta attenzione poiché l'eliminazioni delle voci sbagliate
      può pregiudicare il buon funzionamento del sistema.
      In questo paragrafo si indicheranno alcune delle risorse consultabili per
      aiutarci nella decisione. Per prime si sono elencate le soluzioni adatte ad un
      utente poco esperto, per ultime quelle che richiedono più esperienza.

      Se si è principianti in materia si consiglia di pubblicare il proprio log
      su un qualche forum di sicurezza in cui persone
      competenti possano consigliare cosa rimuovere. Merijn fornisce un nutrito elenco
      di forum in lingua
      inglese
      . Se l'inglese non è una lingua familiare è possibile sceglierne uno
      in italiano come per esempio quello di
      Html.it.
      Importante: l'analisi del log costa tempo e fatica alle persone che
      frequentano i forum. Per arginare la pubblicazione indiscriminata di log molti
      moderatori hanno posto delle regole ben precise a cui gli utenti debbono
      attenersi. In particolare è spesso richiesto l'utilizzo preventivo di tutti i
      più comuni strumenti di scansione automatica come antivirus e antispyware. L'uso di Hijackthis insomma, viene
      considerato l'ultima possibilità.

      Alcuni siti danno la possibilità di effettuare un'analisi online
      automatica
      dei log di Hijackthis basandosi su un proprio database:
      I più noti sono:

      http://www.hijackthis.de/

      http://hjt.iamnotageek.com/

      Nelle finestre di questi siti è presente un form in cui è possibile incollare
      il log e ottenere un responso immediato contenente preziosi suggerimenti sulle
      voci considerate nocive. Questi siti sono sicuramente molto utili per una prima
      e sommaria analisi ma si raccomanda di non fidarsi ciecamente. Il database di
      questi strumenti non è mai completo e spesso alcuni elementi vengono indicati
      come sospetti semplicemente perché non se ne conosce l'origine. Prima di
      eliminare una voce si suggerisce quindi di procedere ad una ricerca
      sulla rete per ulteriori verifiche.

      Google è sempre un ottimo
      alleato. Se ne consiglia l'uso per la ricerca di processi sconosciuti o di altri
      oggetti presenti nel log di cui si ignora l'origine. Alcuni ottimi siti inoltre
      mettono a disposizione elenchi di processi, di processi lanciati all'avvio, di
      servizi, di browser helper objects e altri elementi con l'indicazione della loro
      provenienza e della loro pericolosità.
      Di seguito si fornisce un elenco di
      alcuni tra i più conosciuti. Questi risulteranno molto utili agli utenti più esperti
      per determinare la reale pericolosità degli oggetti indicati dal log di
      Hijsckthis.

      Identificazione di processi e dll:
      (sono in genere suddivisi tra processi di sistema, processi legittimi non di
      sistema e processi appartenenti a malware):

      http://www.iamnotageek.com/a/file_info.php


      http://www.liutilities.com/products/wintaskspro/processlibrary/


      http://www.neuber.com/taskmanager/process/

      Processi eseguiti all'avvio:

      http://castlecops.com/StartupList.html


      http://startup.iamnotageek.com/


      http://www.sysinfo.org/startuplist.php

      Identificazione di servizi:

      http://service.iamnotageek.com/

      Browser Helper Objects e Toolbars:
      (viene indicato anche il codice CLSID che identifica l'oggetto, utile per
      fare ricerche indipendenti del nome del file)

      http://castlecops.com/CLSID.html


      http://www.sysinfo.org/bholist.php

       Elementi specifici appartenenti ad alcune categorie di Hijackthis:

      [O9]  Lista dei
      pulsanti aggiuntivi di Internet Explorer
      [O18]  P rotocolli
      aggiuntivi e hijacker di protocollo
      [O20]  AppInit_DLLs e
      Winlogon Notify
      [O21]  ShellServiceObjectDelayLoad
      [O22]  Shared Task
      Scheduler
      [O23]  Lista dei servizi
      di Windows XP/NT

Ti consigliamo anche