Ma ora basta con le chiacchiere, cominciamo...

Transcript

1 Ciao a tutti, ho cercato di raccogliere in rete un pò di materiale per poter scrivere una guida che possa aiutare alla comprensione delle diverse voci di hijackthis... Come però immaginerete, si tratta di una operazione abbastanza lunga (la maggior parte degli articoli sono in inglese), e perciò ho deciso di pubblicarla a puntate in modo da poter curare al meglio le diverse sezioni... La maggiorparte del materiale è stata presa dalle ottime guide de ilsoftware e bleepingcomputer, e quindi ne ringrazio gli autori. Ma ora basta con le chiacchiere, cominciamo... Le voci R0,R1,R2,R3 indicano le chiavi di registro che regolano: R0 indica la pagina iniziale di Internet R1 indica la pagina di ricerca predefinita R2 non è attualmente usato. R3 indica gli Url Search Hook. Un Url Search Hook viene usato quando si digita un indirizzo senza includere un protocollo come o ftp://. Una volta digitato tale indirizzo, il browser cercherà di trovare il corretto protocollo, e se fallisce in questa operazione, utilizzerà l UrlSearchHook elencato nella sezione R3. Queste sono le chiavi di registro interessate HKLM\Software\Microsoft\Internet Explorer\Main,Start Page HKCU\Software\Microsoft\Internet Explorer\Main: Start Page HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant Può capitare che la parola Obfuscated si trovi vicino a queste voci. Ciò significa che la chiave relativa è stata resa di difficile comprensione, cioè è possible che uno Spyware o un Hijacker stia nascondendo la voce nel registro convertendola in altre forme che possono essere difficilmente comprese come ad esempio l esadecimale. Questo è un esempio R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\system32\jheckb.dll/sp.html (obfuscated) In questi casi è bene prendere nota del nome del file indicato, riavviare il sistema in modalità provvisoria, eliminare manualmente il file quindi selezionare la casella corrispondente in HijackThis e premere il pulsante Fix. Ci sono alcune voci R3 che terminano con questo simbolo _. Per esempio questa: R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) Queste voci potrebbero essere più complesse nella rimozione. Infatti non sarà sufficiente fixarle, ma si dovrà anche cancellare la relativa voce di registro manualmente andando nella chiave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

2 Per quanto riguarda gli elementi indicati come R3, è necessario verificare se sono riferibili a programmi che si sono installati (es.: Copernic) per nostra volontà, sul sistema. In caso contrario, è necessario eliminare le voci sospette usando il pulsante Fix. Gruppo F0, F1, F2, F3. Si tratta di programmi che vengono avviati automaticamente da system.ini o win.ini, file di inizializzazione del sistema utilizzati ampiamente nelle versioni più vecchie di Windows (i.e. Windows 3.1x e Windows 9x). F0 corrisponde alle istruzioni Shell= in System.ini. Queste sono usate in Windows 9X per designare i programmi che devono svolgere le funzioni delle shell per il sistema operativo. La Shell è il programma che carica il desktop, che si occupa della gestione delle finestre, e che permette all utente di interagire con il sistema. I programmi eventualmente elencati dopo le shell, saranno caricati all avvio di Windows, e agiranno quindi come shell di default. C erano alcuni programmi che agivano come validi sostituti delle shell, ma non sono generalmente più usati. Windows 95 e 98 usano entrambi Explorer.exe come shell di default, mentre i Windows 3.X usavano invece Progman.exe. E anche possibile che ci siano programmi che vengono lanciati insieme alle shell di Windows nella stessa Shell=, come ad esempio Shell=explorer.exe badprogram.exe; questa linea farà partire entrambi i programmi all avvio di windows. Come suggerito anche dagli sviluppatori, gli elementi in F0 sono generalmente nocivi e devono essere neutralizzati con il pulsante Fix. Tutte le voci qui visualizzate (eccetto explorer.exe) sono da ritenersi altamente sospette). Se comunque, dopo la voce explorer.exe si trova il riferimento ad un altro file eseguibile, si tratta quasi certamente di un malware da eliminare. F1 corrispondono alle stringhe Run= o Load= in win.ini ; i programmi elencati dopo run= o load= saranno caricati all avvio di Windows. L istruzione run= era prevalentemente usata in Windows 3.1, 95, and 98, ed è mantenuta per consentire la compatibilità con vecchi programmi. In genere i programmi moderni non usano queste entrate, quindi se non avete vecchi programmi dovreste essere sospettosi qualora vedeste voci di questo tipo. La stringa load= era usata, in passato, per caricare i driver. E bene ricercare in rete informazioni su di essi prima di provvedere ad un'eventuale eliminazione (pulsante Fix di HijackThis). Si può sempre fare riferimento a questa pagina ed a questo indirizzo per scoprire se si tratta di malware o meno. Qualora non si dovessero reperire informazioni in queste pagine, dovrete effettuare una ricerca con Google basata sul nome del file eseguibile indicato in F1. Le voci F2 e F3 corrispondono alle righe F0 and F1, ma sono relative a voci di registro di Windows XP, 2000, e NT. Queste versioni, infatti non usano i file system.ini e win.ini, e per il funzionamento dei programmi più vecchi, usano una funzione chiamata IniFileMapping che sistema il contenuto di un file.ini nel registro con chiavi per ogni linea trovata nel file.ini. Quindi quando viene eseguito un programma che legge le sue impostazioni da un file.ini, questo dovrà cercarle nella chiave KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping Un altra voce spesso trovata in F2 è UserInit che corrisponde alla chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit In Windows NT, 2000, XP e 2003 questa chiave specifica i programmi che devono essere lanciati dopo il login in Windows, mentre il programma relativo è C:\windows\system32\userinit.exe.

3 Userinit.exe si occupa di impostare il profilo, i colori, i caratteri, ecc specifici per l utente loggato. E possibile che da questa linea vengano lanciati anche altri programmi che vengono separati da una virgola. Per esempio: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=C:\windows\system32\userinit.exe,c:\windows\badprogram. exe. In questo caso verranno eseguiti entrambi i programmi, e si tratta di un trucco spesso usato da trojans, hijackers, e spyware. Tuttavia va segnalato che userinit.exe potrebbe essere seguito da nddeagnt.exe, ed in questo caso non si tratterebbe di malware. Per ogni cancellazione, è comunque opportuno effettuare una ricerca su google. Va segnalato, inoltre, che quando queste voci vengono fixate in HJT viene eliminata la voce di registro, ma non il file associato, e quindi questa operazione dovrà essere effettuata manualmente. Gruppo N1, N2, N3, N4. Questi elementi fanno riferimento alla pagina iniziale di Netscape 4, 6, 7 e Mozilla. In particolare: N1 corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 4 N2 corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 6 N3 corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 7 N4 corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Mozilla Questi dati sono memorizzati di solito nel file prefs.js, contenuto nella cartella del browser. C è tuttavia da dire, che questi browser sono raramente colpiti da hijacker; l unico conosciuto che prova a dirottare la pagina iniziale di Netscape e Mozilla è Lop.com. Anche in questo caso, qualora si identificassero elementi sospetti è necessario servirsi del pulsante Fix di HijackThis. Gruppo O1. Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per capire come funziona il reindirizzamento del file hosts leggete questa guida. In questo caso si dovrebbe correggere il problema fixando la voce incriminata. Gruppo O2. Gli elementi di questo gruppo fanno riferimento ad oggetti BHO (Browser Helper Objects); un BHO è un piccolo programma che si esegue automaticamente ogni volta che si apre un browser e che in genere viene installato da un altro programma. Le applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini e per rubare dati che vi riguardano. Ma cosa fa un BHO? In pratica può fare di tutto, ma in genere aggiunge delle funzionalità utili per la navigazione in internet. Ci sono molti casi, però, nei quali i BHO sono "ad-ware" o "spyware", infatti si occupano di monitorare il comportamento in rete memorizzando i siti visitati più spesso ed inviando un report con queste informazioni ai loro creatori. Possono anche entrare in conflitto con altri programmi in esecuzione e creare problemi nel caricare le pagine web ed errori di vario genere, andando ad incidere sulle performance della navigazione. In questo caso è di solito abbastanza agevole riconoscere subito i componenti benigni: oltre ad un lungo identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, è solitamente indicato il percorso del file (in genere una libreria DLL) usata dal BHO. Per esempio, se si vede c:\acrobat 5.0\Reader\... è ovvio che, con buona probabilità, trattasi di un componente benigno.

4 Se si hanno dubbi sull'identità di un BHO, si può fare riferimento alle pagine seguenti: - ComputerCops CLSID - Sysinfo.org BHO List Qui, indicando l'indentificativo alfanumerico (CLSID), è possibile ottenere tutte le informazioni del caso. La chiave di registro relativa ai BHO è HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Fixando queste voci con HJT, questo tenterà di rimuovere anche il file associato, ma ci sono delle volte in cui questi file possono essere in uso anche se IE è chiuso, e pertanto non potranno essere cancellati in questo modo; in questi casi sarà necessario riavviare il pc in modalità provvisoria e cancellarlo manualmente. Un ottima utility per vedere e, nel caso, disabilitare i BHO, è BHODemon, che può essere scaricata da qui. Gruppo O3. Contiene riferimenti a barre degli strumenti aggiuntive per Internet Explorer. Molti programmi "benigni" ne fanno uso. Per esempio, Google permette di installare una propria toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per la generazione e gestione di file PDF e così via... Altre volte, invece, la presenza di barre degli strumenti indesiderate è dovuta ad oggetti BHO maligni (rif. gruppo "O2"). Fixando queste voci HijackThis non cancella il file associato, e pertanto bisognerà farlo manualmente in modalità provvisoria. La chiave di registro relativa a questi oggetti è HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar La ricerca del CLSID delle toolbar può essere effettuata sugli stessi siti indicati per i BHO, e, se non doveste trovare informazioni utili, cercate su google. Gruppo O4. Questa sezione corrisponde alle applicazioni elencate in alcune chiavi di registro e nelle cartelle di startup e global startup (o esecuzione automatica), e che vengono caricate automaticamente ad ogni avvio di Windows. Quelle che seguono sono le chiavi del registro di sistema che HijackThis controlla: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit La cartella di startup ha questo percorso

5 c:\documents and settings\nomeutente\menuavvio\programmi\esecuzione automatica e si riferisce alle applicazioni che vengono eseguite in base all utente che effettua il login in Windows La cartella di global startup, invece, si riferisce a quelle applicazioni che partono automaticamente indipendentemente dall utente che effettua il login. Questo è il suo percorso: c:\documents and settings\allusers\menu avvio\programmi\esecuzione automatica E' possibile verificare nei siti Sysinfo.org e ComputerCops.biz (ma ce ne sono altri) se i vari eseguibili elencati nel gruppo O4 siano maligni o meno (il sito contrassegna con una "X" i componenti dannosi da eliminare immediatamente). Qualora ai link precedenti non non doveste trovare risposte certe sui vari file presenti nel vostro gruppo O4, effettuate una ricerca mirata in Rete tramite il vecchio caro Google specificando come termine da cercare proprio il nome del file eseguibile (es.: sssasas.exe). Per l eliminazione di queste voci, bisogna distinguere due casi: se si tratta di una voce di registro, come ad esempio (questa voce non è maligna) O4 - HKLM\..\Run: [AVG7_EMC] E:\PROGRA~1\GRISOF~1\avgemc.exe HJT non cancellerà il file associato, e sarà quindi necessario effettuarlo manualmente in modalità provvisoria. Per quanto riguarda le voci nelle cartelle esecuzione automatica (sia di startup che di global starup), come ad esempio (queste voci non sono maligne) O4 - Startup: ERUNT AutoBackup.lnk = E:\Programmi\ERUNT\AUTOBACK.EXE O4 - Global Startup: Acrobat Assistant.lnk = E:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe (notate le scritte startup e global startup dopo O4) le cose funzionano in maniera differente; HijackThis cancellerà i collegamenti trovati in queste cartelle, ma non i file a cui fanno riferimento, a meno che sia lo stesso eseguibile (e quindi non un collegamento) a trovarsi in quella cartella (La descrizione di queste 5 voci è quasi integralmente presa dalla guida de "ilsoftware") Gruppo O5. In condizioni normali, le "Opzioni Internet" di Internet Explorer sono accessibili dal Pannello di controllo di Windows. E' tuttavia possibile nascondere l'icona "Opzioni Internet" aggiungendo uno speciale parametro (inetcpl=no) all'interno del file di configurazione control.ini, generalmente memorizzato nella cartella d'installazione di Windows. A meno che la modifica non sia stata voluta da parte dell'amministratore del sistema, potrebbe essere stata causata da un'applicazione maligna che vuole rendere difficoltosa, per l'utente, la modifica delle impostazioni del browser. Per rimuovere questa restrizione, è sufficiente cliccare sul pulsante Fix di HijackThis. Questa voce nel log di HJT viene visualizzata in questo modo O5 - control.ini: inetcpl.cpl=no Gruppo O6. L'amministratore di sistema potrebbe avere bloccato la possibilità di modificare le impostazioni di Internet Explorer. Oppure, qualora l'utente abbia deciso di utilizzare le funzioni di SpyBot S&D che consentono di bloccare le impostazioni correnti del browser, HijackThis visualizzerà qualcosa di simile: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

6 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Se non è il vostro caso (l'amministratore di sistema non ha applicato restrizioni per impedire la modifica delle opzioni di Internet Explorer; non avete bloccato le impostazioni del browser con SpyBot), è consigliabile servirsi del pulsante Fix di HijackThis: queste modifiche potrebbero essere state infatti effettuate da spyware/malware per rendere problematici interventi risolutori da parte dell'utente. Questa è la chiave di registro interessata: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Gruppo O7. Windows mette a disposizione una particolare impostazione che permette di disabilitare l'accesso al registro di sistema. Qualora HijackThis dovesse mostrare la riga O7 -HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 e né voi né l'amministratore di sistema avete applicato restrizioni di accesso al registro di sistema, il consiglio è, anche in questo caso, quello di premere il pulsante Fix. Gruppo O8. Il menù contestuale è quello che compare facendo clic con il tasto destro del mouse in Internet Explorer. Installando molte applicazioni che si integrano con il browser di casa Microsoft, potreste trovare un gruppo "O8" molto popoloso. Gran parte degli elementi facenti parte di questo gruppo sono "benigni". La chiave di registro interessata è la seguente: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Se all'interno del gruppo "O8", però, alcuni elementi vi sono del tutto sconosciuti ed anzi, risultano sospetti, è possibile che siano parte integrante di spyware e malware da rimuovere subito. Fixando queste voci HijackThis non cancella il file associato, e pertanto bisognerà eliminarli manualmente in modalità provvisoria. Gruppo O9. Qui vengono inseriti da HijackThis tutti gli elementi che non sono forniti "di serie" con Internet Explorer e che sono stati aggiunti nella barra degli strumenti del browser oppure nel suo menù "Strumenti". Anche in questo caso, alcuni elementi possono essere riconducibili a plug-in assolutamente "benigni" mentre altri possono far capo a pericolosi malware. Se tuttavia, anche qui, alcuni elementi vi sono del tutto sconosciuti ed anzi, risultano sospetti, è possibile che siano parte integrante di spyware e malware da rimuovere subito. Fixando queste voci HijackThis non cancella il file associato, e pertanto bisognerà eliminarli manualmente in modalità provvisoria. La chiave di registro interessata è la seguente HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key Gruppo O10. Tutti gli elementi raggruppati in "O10" sono solitamente maligni (Winsock hijackers altrimenti conosciuti con l'acronimo LSP, Layered Service Providers). Un Service Provider di Livello è un driver di sistema connesso profondamente ai servizi di rete di Windows; infatti gli LSP permettono di concatenare un componente software con le librerie Winsock 2 (responsabili della gestione della connessione Internet). Ha accesso ad ogni dato in entrata o in uscita dal computer, al punto di possedere la capacità di modificare questi dati. Soltanto alcuni di questi LSP sono necessari per consentire a Windows di connetterti ad altri computer, Internet compresa. Spyware, hijackers e malware, possono installarsi come LSP per "spiare" indisturbati tutto il vostro traffico di rete (i.e. registrano tutto ciò che fate in Rete).

7 E ASSOLUTAMENTE SCONSIGLIATO FIXARE QUESTI ELEMENTI. Per rimuovere i componenti maligni del gruppo O10 è necessario servirsi dell'ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software, o in alternativa, è possibile usare il programma LSPfix. Nel gruppo O10 potreste vedere anche componenti di software antivirus: in questo caso, non preoccupatevi assolutamente! Ciò può essere del tutto normale se il vostro antivirus opera a livello Winsock. Inoltre molti antivirus effettuano scansioni anche a livello di Winsock. Il problema è che, dopo aver eliminato un LSP maligno, questi possono ricreare gli LSP (legittimi) in un ordine diverso. Ciò può comportare la rilevazione da parte di HJT di questi elementi come in questo esempio O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing anche se internet continua a funzionare senza problemi. Fixare queste voci può compromettere il funzionamento della vostra connessione, e pertanto è richiesta molta attenzione. Una lista degli LSP può essere trovata sil sito di castelcops Gruppo O11. HijackThis inserisce in questo gruppo tutti gli eventuali elementi aggiuntivi inseriti da software di terze parti nella scheda Avanzate di Internet Explorer (Strumenti, Opzioni Internet...).Facendo riferimento a quanto dichiarato dagli sviluppatori di HijackThis, al momento, l'unico hijackers che aggiunge un proprio elemento nella scheda Avanzate sarebbe il solo "CommonName": O11 - Options group: [CommonName] CommonName Gli elementi di questo gruppo vengono inseriti nel registro di sistema nella chiave seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Gruppo O12. Di solito gli elementi qui contenuti sono benigni. Si tratta di "plug-in" installati da applicazioni sviluppate da terze parti per estendere le funzionalità di Internet Explorer. La chiave di registro interessata è la seguente: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins In ogni caso è preferibile fare qualche ricerca in Rete, con Google, per verificare l'identità di ogni file classificato come appartenente a questo gruppo. (per ora sembra che solo "OnFlow" aggiunga una entry (.ofb) da eliminare). Fixando la relativa voce, HJT tenterà di eliminare il file associato, ma se non ci dovesse riuscire, sarà necessario effettuare l eliminazione manualmente in modalità provvisoria. Gruppo O13. Internet Explorer default prefix hijack. Il "prefisso di default" è un'impostazione di Windows che stabilisce il modo con cui vengono trattati gli indirizzi Internet (URL) non preceduti dall'identificativo del protocollo da usare (es.: ftp://, e così via). Per default, Windows antepone il prefisso a tutti gli indirizzi specificati dall'utente. Il prefisso predefinito ( può essere modificato con un semplice intervento sul registro di sistema in questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ Il diffusissimo hijacker CoolWebSearch modifica il prefisso di default sostituendolo con Ciò significa che non appena digitate solo sul browser, verrete ridirezionati su sito web di riferimento del componente maligno

8 "CoolWebSearch". Prima di usare il pulsante Fix, il consiglio è quello di tentare una rimozione di tutte le varianti di CoolWebSearch oggi conosciute servendovi del software gratuito CWShredder Dopo la rimozione di CoolWebSearch tramite l'uso di CWShredder, rieseguite nuovamente HijackThis ed eliminate le eventuali voci rimaste nel gruppo O13 con il pulsante Fix. Gruppo O14. Sul personal computer è memorizzato un file che Internet Explorer utilizza per "resettare" tutte le sue impostazioni ai valori predefiniti configurati al momento dell'installazione di Windows. Il file si chiama \windows\inf\iereset.inf e contiene tutti i parametri che verranno ripristinati in caso di "reset" del browser. Molti componenti maligni modificano il file iereset.inf in modo tale che, qualora tentiate di ripristinare le impostazioni iniziali del browser, Internet Explorer leggerà tutti i parametri impostati dal malware nel file di configurazione! Ecco un esempio: O14 - IERESET.INF: START_PAGE_URL= Usate il pulsante Fix per risolvere il problema. Gruppo O15. Siti i IP nella trusted zone di IE e Default di protocollo. Alcuni di voi si staranno chiedendo cosa sia la trusted zone. La sicurezza di IE è basata su una serie di zone; ogni zona prevede differenti impostazioni di sicurezza che delimitano la possibilità di azione di scripts o altre applicazioni che possono essere effettuati da un sito che si trova in quella determinata zona. La trusted zone ha impostato il più basso livello di sicurezza, e ciò significa che scripts e applicazioni di siti che si trovano in questa zona possono essere eseguiti senza che l utente ne sia a conoscenza (l ideale per ogni tipo di malware ). Vediamo quali sono le chiavi di registro interessate: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges Se IE usa la chiave domains o ranges dipende dall URL che l utente vuole raggiungere; se questo contiene un nome di dominio, cercherà nelle sottochiavi di domains, mentre se contiene un indirizzo IP cercherà nelle sottochiavi di ranges. Quando i domini sono aggiunti alla Trusted Site o alla Restricted zone, gli vengono assegnati dei valori che specificano ciò. Il 4, significa che il dominio verrà inserito nella Restricted Sites zone, il 2, invece, che verrà inserito nella Trusted Sites zone. Se si ha a che fare con un indirizzo IP, le cose cambiano un pò. Nella chiave SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges, si possono trovare altre chiavi chiamate Ranges1, Ranges2, Ranges3, Ranges4,... Ognuna di queste sottochiavi corrisponde ad una particolare security zone/protocol. Se per esempio si aggiunge un indirizzo IP alla security zone, Windows creerà una sottochiave che comincia con Ranges1 e designerà quella sottochiave come quella che conterrà tutti gli indirizzi IP di una particolare security zone per un particolare protocollo. Quindi aggiungendo alla trusted zone, Windows creerà Ranges1 (ranges1 in quanto non ce ne saranno altre, altrimenti andrà avanti in

9 ordine sequenziale) ed assegnerà un valore di http=2. Tutti i futuri trusted IP saranno aggiunti nella chiave Range1. Se dopo si aggiunge un indirizzo IP ai Restricted sites usando il protocollo http (es. Windows creerà un altra chiave chiamandola Range2. Questa avrà un valore http=4, e tutti I futuri indirizzi IP aggiunti alla restricted zone saranno inseriti in quella chiave. Questo gioco continua per ogni protocollo e per ogni combinazione di impostazioni di sicurezza. Impostazioni di default dei protocolli Quando si usa IE per connetersi ad un sito, i permessi che vengono dati a tale sito dipendono dalla security zone in cui si trova. Ci sono 5 zone, ad ognuna delle quali è assegnato un numero di identificazione. Queste sono: my computer 0 intranet 1 trusted 2 internet 3 restricted 4 Ognuno dei protocolli utilizzati per connettersi ad un sito (HTTP, FTP, HTTPS ), è situato in una di queste zone. Esattamente il gioco funziona in questo modo HTTP 3 HTTPS 3 FTP 1 Shell 0 Per esempio se ci si connette ad un sito utilizzando questo apparterrà di default alla Internet zone. Questo perchè la zona di default per il protocollo http è 3 che corrisponde alla Internet zone. I problemi sorgono quando un malware cambia la zona di default di un determinato tipo di protocollo. Per esempio se un malware avesse cambiato la zona di default per il protocollo HTTP a 2, ogni sito al quale ci si connette verrebbe considerato come se appartenente alla trusted zone. Ma ora passiamo alla parte pratica... Avviate Internet Explorer quindi cliccate sul menù Strumenti, Opzioni Internet... quindi sulla scheda Protezione: come abbiamo visto, IE gestisce in modo differente le risorse provenienti dalla Rete Internet (cliccando sull icona Internet è possibile verificare come il livello di sicurezza sia impostato - in modo predefinito - su "Media") e quelle memorizzate sulla Intranet locale (livello di protezione regolato su "Medio-basso"). L uso del solo browser, così configurato, può facilitare l insediamento di pericolosi malware sul personal computer. Chi sviluppa questi dannosi "programmini", conosce molti espedienti (facilmente reperibili anche in Rete, facendo qualche ricerca) per far credere ad Internet Explorer che i loro "pupilli" facciano parte della Intranet locale o, peggio ancora, dell area Risorse del computer. Ma perché i malware si sforzano di apparire come programmi appartenenti all area della Intranet locale? Perché, come detto, il livello di sicurezza impostato per queste due aree è mediobasso o basso: ciò significa che componenti attivi come ActiveX e Java hanno la possibilità di effettuare interventi sul sistema senza restrizioni. Per difendersi le soluzioni applicabili sono essenzialmente tre (che possono essere comunque combinate tra loro): - disabilitare in Internet Explorer l esecuzione di controlli ActiveX, applet Java, Visual Basic Script

10 - installare un "personal firewall" in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi - abbandonare Internet Explorer e passare ad un browser web "alternativo" Per disabilitare, in Internet Explorer, l esecuzione di componenti potenzialmente dannosi, è sufficiente impostare su Alto il livello di protezione per tutte le aree. In questo modo, il browser sarà al riparo. Come regola generale, è bene mantenere sempre disattivati ActiveX e Java, abilitandoli eventualmente solo ed esclusivamente nel caso in cui si stia visitando un sito assolutamente affidabile. A meno che non si siano specificati manualmente siti attendibili od indirizzi IP specifici, è bene premere il pulsante Fix per tutte le voci appartenenti a questo gruppo. Gruppo O16. Questa sezione contiene la lista degli oggetti ActiveX prelevati (altrimenti conosciuti come "Downloaded Program Files") e inseriti nella cartella C:\windows\Downloaded Program Files. Questi hanno anche riferimenti nel registro, le cui voci sono identificabili dal CLSID. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Gli ActiveX sono abbondantemente utilizzati da malware per far danni sul personal computer, molti spyware ne fanno uso e i dialer ricorrono a questa tecnologia per insediarsi sul sistema dell utente. Gli ActiveX, nelle versioni più recenti di Internet Explorer, si presentano con un avviso di protezione che compare durante la "navigazione" in un sito web; nelle versioni più vecchie - non adeguatamente aggiornate e "patchate" -, gli ActiveX possono essere anche scaricati ed eseguiti automaticamente con i pericoli che ne conseguono. Se in lista vedete nomi od indirizzi che non conoscete, suggeriamo di fare una ricerca con Google in proposito in modo da saperne di più. Come regola generale, è bene eliminare immediatamente (pulsante Fix) gli ActiveX contenenti i termini sex, porn, dialer, free, casino, adult. Ecco un esempio: O16 - DPF: {12398DD6-40AA-4C40-AEC-A42CFC0DE797} (Installer Class) - C è un programma chiamato SpywareBlaster che ha un ampio database di ActiveX maligni, e che ne previene l installazione. Fixando le entrate O16, HJT tenterà di eliminare gli oggetti ActiveX, e generalmente dovrebbe riuscirci, ma qualora si dovessero riscontrare problemi, sarà necessario provvedere manualmente dalla modalità provvisoria. Gruppo O17. Domain hacks. Quando digitate un indirizzo web come il vostro computer si collega ad un server DNS per risolvere l indirizzo da voi digitato in un indirizzo IP. Alcuni hijackers modificano, con un intervento sul registro di sistema, il server DNS predefinito sostituendo quello da voi scelto con uno proprietario. In questo modo, qualunque URL digitiate nel browser, il DNS dell'hijackers può ridirezionarvi verso il sito che crede. Se nel gruppo O17 non riconoscete IP appartenenti alla vostra rete locale o comunque alla vostra azienda, servitevi del pulsante Fix di HijackThis. Questi qui riportati sono intervalli di indirizzi IP di server DNS sicuri in quanto sono riservati esclusivamente a reti dietro NAT (senza andare nel dettaglio, in genere questo avviene qualora abbiate router o firewall hardware). Da A Da A

11 Da A Se il vostro indirizzo DNS non dovesse appartenere ai suddetti intervalli, potete controllarlo effettuando il whois su questo sito Gruppo O18. Agendo su alcune chiavi contenute nel registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, un malware può così assumere il controllo sulle modalità con le quali il vostro sistema invia e riceve informazioni in Rete. I componenti maligni che più comunemente si servono di questi espedienti (gruppo O18) sono CoolWebSearch, Lop.com e Related Links. le chiavi di registro interessate sono HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HijackThis prima legge la sezione Protocols del registro alla ricerca di protocolli non standard. Quando ne trova uno, interroga il CLSID relativo alla ricerca di informazioni sul percorso del file collegato alla voce di registro. Questo è un esempio di O18 maligno O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll Questo è un sito sul quale potete trovare un buon database per gli oggetti O18; Se non doveste trovare informazioni utili, fate delle ricerche in Rete, con Google. E importante rilevare che fixando queste voci viene cancellata la voce di registro, ma non il file collegato che dovrà essere cancellato manualmente in modalità provvisoria Gruppo O19. Style sheet hijacking. Gli "style sheets" o fogli di stile consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Un foglio di stile contiene informazioni sui colori da usare in una pagina html, sulle fonti di carattere scelte, sull'allineamento del testo e così via. Alcuni malware modificano il foglio di stile sviluppato specificamente per le persone diversamente abili causando la comparsa di numerose finestre popup ed un drastico calo delle performance durante la navigazione in Rete. La chiave di registro interessata è HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Gli elementi che compaiono nel gruppo O19 sono generalmente eliminabili (Fix) senza problemi. HijackThis non elimina i file presenti in questo gruppo, una volta cliccato sul pulsante Fix: è consigliabile riavviare il sistema in modalità provvisoria ed eliminare i file manualmente. Gruppo O20. Questa sezione corrisponde alle librerie dll che vengono inizializzate all avvio di Windows grazie alla stringa AppInit_DLLs contenuta nel registro di sistema e alle sottochiavi Winlogon Notify AppInit_DLL In particolare il valore di registro AppInit_DLL contiene una lista delle dll che verranno caricate al

12 momento in cui verrà caricata la libreria user32.dll. Ciò rende difficile la rimozione di queste dll che verranno caricate in diversi processi, alcuni dei quali non potranno essere fermati senza causare instabilità all intero sistema. Il file user32.dll viene anche utilizzato dai processi che vengono avviati automaticamente nel momento il cui ci si logga nel sistema; questo significa che i file elencati nel valore di registro AppInit_DLL saranno caricati molto presto nella fese di startup di windows permettendo alle dll di nascondersi e proteggersi prima che l utente possa avere accesso al sistema. Questo metodo viene utilizzato da alcune varianti del CoolWebSearch, e l infezione può essere visualizzata solo ed esclusivamente con un click destro sul valore e selezionando la voce modifica dati binari, oppure utilizzando un editor di registro chiamato Registrar Lite La chiave di registro interessata è HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows E questo è un esempio di chiave da eliminare O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll Ci sono pochi programmi che usano legittimamente questa chiave di registro, ma in ogni caso è necessario procedere con cautela prima di rimuovere queste voci. Fate prima una ricerca su questo sito e se non trovate niente fate una ricerca con google. Fixando queste voci, HJT non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provissoria. Winlogon Notify La chiave Winlogon Notify viene generalmente utilizzata dalle infezioni Look2Me. HijackThis elencherà tutte le chiavi Winlogon Notify non-standard in modo che si potranno facilmente individuare quelle probabilmente infette. E possibile riconoscere le chiavi dell infezione Look2Me in quanto saranno caratterizzate da una dll con un nome casuale situato nella cartella %SYSTEM%. Questa è la chiave di registro interessata HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify E questo è un esempio di chiave da eliminare O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll Anche in questo caso fixando queste voci, HJT non cancellerà il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria Gruppo O21. In quest'area vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l'uso della chiave ShellServiceObjectDelayLoad del registro di sistema. Questa è la chiave di registro interessata HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelay Load I file in questa chiave di registro vengono automaticamente caricati da Explorer.exe quando il pc viene avviato. Explorer.exe è la shell del computer, verrà caricato ad ogni avvio e caricherà tutti i file presenti nella relativa chiave di registro. Questi file vengono caricati molto presto durante il

13 processo di startup, prima che ogni intervento umano possa essere eseguito sul computer. Questo è un esempio di voce da cancellare O21 - SSODL: System - {3CE8EED5-112D-4E37-B D12971E} - C:\WINDOWS\system32\system32.dll HijackThis è a conoscenza dei componenti "benigni" che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati nel gruppo O21. Se HijackThis mostra uno o più elementi all'interno della sezione O21 è quindi altamente probabile che si tratti di componenti pericolosi. Un ottimo database è pubblicato qui, e se non doveste trovare nulla effettuate una ricerca su google. Fixando queste voci, HJT non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provissoria. Gruppo O22. Questa sezione mostra l'elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Questo è il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler Alcune varianti di CoolWebSearch utilizzano questo espediente per "autoeseguirsi" all'avvio del sistema operativo. Agite comunque con estrema cautela nel rimuovere gli elementi visualizzati nella sezione O22 di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. Suggeriamo di effettuare ricerche tramite Google per stabilire se ciascun elemento sia da considerarsi nocivo o meno. E' possibile trovare molte informazioni in merito in questa pagina, o altrimenti effettuate ricerche con google. Hijackthis cancellerà il valore associato alla chiave SharedTaskScheduler, ma non cancellerà il CLSID a cui punta, ed il file al quale la sottochiave del CLSID chiamata Inprocserver32 a sua volta punta. Di conseguenza si dovrà eliminare tale file manualmente in modalità provvisoria Gruppo O23. La sezione O23 di HijackThis mostra la lista dei servizi di sistema (Windows NT/2000/XP/2003) che il programma non conosce. E tuttavia possibile fare in modo che HJT elenchi tutti i servizi flaggando la casella ihatewhitelists. Gran parte di essi sono servizi installati da parte di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurate come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo). Prima di eliminare elementi visualizzati nel gruppo O23, quindi, è bene informarsi sul significato e sulla natura degli stessi. Per farlo visitate questi siti ed effettuate ricerche con google. Il pulsante Fix di HijackThis disabilita l'avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede all'utente di riavviare il personal computer. HijackThis, però, non elimina "fisicamente" il servizio.

14 Un servizio collegabile all'azione di un software malware deve poi essere successivamente eliminato in modo manuale servendosi del comando seguente (da inserire al Prompt dei comandi DOS): sc delete nome_del_servizio ove nome_del_servizio va sostituito con il nome del servizio che si intende eliminare definitivamente dal proprio sistema. E anche possibile eliminare il servizio attraverso HJT; per farlo, aprite il programma, cliccate su config, poi su misc tools, ed infine su delete an NT service. A questo punto inserite il nome del servizio e premete su OK.