• R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
• F0, F1 - Autoloading programs
• N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
• O1 - Hosts file redirection
• O2 - Browser Helper Objects
• O3 - Internet Explorer toolbars
• O4 - Autoloading programs from Registry
• O5 - IE Options icon not visible in Control Panel
• O6 - IE Options access restricted by Administrator
• O7 - Regedit access restricted by Administrator
• O8 - Extra items in IE right-click menu
• O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
• O10 - Winsock hijacker
• O11 - Extra group in IE 'Advanced Options' window
• O12 - IE plugins
• O13 - IE DefaultPrefix hijack
• O14 - 'Reset Web Settings' hijack
• O15 - Unwanted site in Trusted Zone
• O16 - ActiveX Objects (aka Downloaded Program Files)
• O17 - Lop.com domain hijackers
• O18 - Extra protocols and protocol hijackers
• O19 - User style sheet hijack
• O20 - AppInit_DLLs Registry value autorun
• O21 - ShellServiceObjectDelayLoad Registry key autorun
• O22 - SharedTaskScheduler Registry key autorun
• O23 - Windows NT Services
Iniziamo ora con l’analisi delle singole sezioni.
R0, R1, R2, R3
In questa sez. vengono raggruppate tutte le voci dei registri che riguardano:
• la pagina iniziale di IE
• la pagina di ricerca predefinita
in questa sez. dovete fare attenzione che gli indirizzi riportati siano corrispondenti a quelli della vostra start-up page e quelli del vostro motore di ricerca.
Se questo non vi risulta bisogna effettuare delle correzioni.
Es.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing
F0, F1, F2, sezioni F3
Qui vengono elencate tutte le applicazioni che vengono caricate dai file INI, system.ini e win.ini
Le voci precedute da F0 sono quasi sempre riferite a file dannosi quindi Fix
Le voci precedute da F1 potrebbero essere programmi obsoleti, consultate sempre un database online.
Le voci precedute da F2 e F3 sono equivalenti a F0 e F1 ma sono presenti nelle versioni di S.O. di tecnologia NT (XP – 2000 – 2003 – NT)
N1, N2, N3, N4
Per questa sez. possiamo utilizzare la definizione usata per R0,R1,R3, però in questo caso le voci sono riferite ad altri browser (Netscape e Mozilla)
Poichè la maggior parte di spyware e dei Hijack sono creati e ottimizzati per Internet Explorer quelle riportate qui normalmente sono sicure.
Sezione O1
Hosts file redirection
Es.
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:WindowsHelphosts
Come molto spesso accade molti malware utilizzano questo metodo per costringere l’utente a visitare determinati siti, infatti modificando il file host si possono ottenere degli reindirizzamenti all’insaputa dello user. Se gli indirizzamenti presenti nel file Hosts non sono stati da voi inseriti procedete con il Fix delle righe (l'ultima nell'esempio è aggiunta spesso da CoolWebSearch, noto hijacker)
Di seguito vi riporto la posizione del file Hosts nei vari S.O.
Windows 3.1 – 95 – 98 – ME C:\WINDOWS\HOSTS
Windows NT – 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP – 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Alcune volte la posizione del file Hosts dei sistemi Windows NT/2000/XP può essere cambiata modificando la seguente chiave di registro.
Chiave di registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Tcpip\Parameters \: DatabasePath
Se riscontrate un file hosts nella cartella C:\Windows\Help\hosts, potete star certi che il vostro pc e infetto da CoolWebSearch. E’ altresì vero che se il file Hosts risulta essere collocato in posizione diversa rispetto alla tabella sopra riportata con molta probabilità siete soggetti ad un infezione virale
Sezione O2
In questa sez. vengono riportate le informazioni dei plugins installati al fine di estendere le funzionalità del browser. In questa sez. è possibile riscontrare spyware ma anche programmi legali tipo Google Toolbar e il lettore per i file PDF di Adobe.
Per verificare quale BHO sia o meno legittima si consiglia di consultare uno dei seguenti DB SYSInfo DB BHO o CSLIDs BHOList
Sezione O3
In questa sez. vengono raccolte tutte le informazioni inerenti alle toolbar installate di IE. Anche in questo caso ci si può aiutare con l’aiuto di DB on line [ SYSInfo Toolbar oppure CSLIDs Toolbar
Sezione O4
In questa sez. vengono raccolte tutte le informazioni inerenti all'elenco dei programmi che vengono autocaricati dal registro o da esecuzione automatica. In questa sez. si possono riscontrare delle voci che richiamano all’esecuzione dei spyware presenti nel nostro sistema. Anche in questo caso ci si può aiutare con l’aiuto di DB on line Sysinfo StartUpList
Sezione O5
In questa sez. vengono raccolte tutte le informazioni relative alle opzioni internet occultate nel pannello di controllo, al fine di evitarne la modifica. Questa operazione è possibile modificando il file control.ini, normalmente nei sistemi XP viene archiviato in c:\windows\control.ini., la modifica consiste nell’inserire al suo interno delle stringhe, le quali hanno il compito di oscurare le opzioni internet malevoli.
Es. O5 - control.ini: inetcpl.cpl=no
Sezione O6
In questa sez. vengono raccolte tutte le informazioni relative alle restrizioni presenti per accedere alla modifica delle opzioni di Internet Explorer. Queste opzioni dovrebbero esserci soltanto nei seguenti casi: attivazione volontariamente dal vs. admin ai fini di sicurezza oppure da programmi antispy tipo Spybot Search&Destroy. In caso contrario vanno cancellate tramite la funzione fix
Es. O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Sezione O7
In questa sez. vengono raccolte tutte le informazioni relative alle restrizioni effettuate sul registro, se vi è presente la riga sotto riportata significa che è stato impedito l'accesso a regedit. Se tale operazione non è stata voluta dall’amministratore di sistema potete effettuare la correzione
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Sezione O8
In questa sez. vengono raccolte tutte le informazioni relative alle funzioni extra presenti in IE , tali funzioni sono visibili premendo il tasto DX del mouse
Anche in questo caso se non siete a conoscenza di quale programma potrebbe aver installato la funzionalità presente nel menu contestuale procedete con la correzione
Sezione O9
In questa sez. vengono raccolte tutte le informazioni relative ai nuovi pulsanti creati nelle barre degli strumenti e alle nuove voci nel menu strumenti di IE. Anche in questo caso se non siete a conoscenza di quale programma potrebbe aver installato questi pulsanti o menù procedete con la correzione
Sezione O10
In questa sez. vengono raccolte tutte le informazioni relative ai Winsock Hijackers, per la rimozione di tali Hijackers si consiglia l’utilizzo di programmi appositi, come per esempio SpyBot Search&Destroy
Sezione O11
Secondo Merijn, di HijackThis, c’è soltanto un unico Spyware conosciuto ed è CommonName. Se vedete CommonName nell'elenco potete rimuoverlo con una certa sicurezza, nel caso venga riportata una voce diversa si consiglia di effettuare una accurata ricerca sul web.
Sezione O12
In questa sez. vengono raccolte tutte le informazioni relative ai plugins di IE
La maggior parte dei plugins sono legittimi, comunque risulta buona prassi, per quelli che non conoscete, effettuare delle ricerche sul web prima di procedere con la cancellazione. Un spyware conosciuto è il Onflow plugin che ha l'estensione di OFB.
Sezione O13
In questa sez. vengono raccolte tutte le informazioni relative ad un dirottamento dello IE DefaultPrefix.
Es.
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix:
http://prolivation.com/cgi-bin/r.cgi?
O13 -
WWW. Prefix:
http://ehttp.cc/?
La presenza delle righe sopra citate non rappresenta nulla di buono procedete con l’operazione di fix
Sezione O14
In questa sez. vengono raccolte tutte le informazioni relative ai redirect della pagina iniziale di IE, se questo indirizzo non appartiene al vs provider dovete procedere con il fix della riga
Es. O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Sezione O15
La sicurezza del Internet Explorer è basata su un insieme di zone. Ogni zona ha livelli di sicurezza differenti. Tra le varie zone ce n’è una denominata Trusted Zone. In questa sez. vengono raccolte tutte le informazioni relative ai siti ritenuti sicuri ed aggiunti ad una lista senza restrizione, quindi questi possono operare all’insaputa dell’utente. Alcune volte questa zona può essere sfruttata da malware, quindi effettuate una verifica degli indirizzi presenti e procedete con l’eliminazione di quelli che non conoscete.
Sezione O16
In questa sez. vengono raccolte tutte le informazioni relative agli oggetti activeX scaricati da internet ed installati. Nella sez. potremmo riscontrare molte righe relative a spyware ed è per questo che viene consigliata un’attenta analisi delle stesse. Molte volte gli item malevoli sono di facile riscontro in quanto spesso contengono parole come sex, porn, dialer, free, casino, adult, ecc.
Per proteggere il proprio pc da queste tipologie di malware si consiglia l'uso di SpywareBlaster.
Sezione O17
In questa sez. vengono raccolte tutte le informazioni relative ai DNS e ai DomainNames presenti nel registro. Se nelle voci riportate non riconoscete il vostro dominio o i DNS del vostri o del vostri Provider procedete con la cancellazione.
O17 - HKLM\Software\..\Telephony: DomainName = XXXXX.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB3F640F-F645-44D5-A8DB-A914D114890B}: NameServer = 151.1.1.1,151.99.125.3
Sezione O18
In questa sez. vengono raccolte tutte le informazioni relative ai protocolli supplementari. Non vi sono molti spyware usano questo tipo di hijack, quelli più conosciuti sono 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).
Es. O18 - Protocollo: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
Nel caso di dubbi effettuare delle ricerche sul web tramite motore di ricerca Google, nel web è presente anche un Db online e lo potete trovare al seguente link
Sezione O19
Solo CoolWebSearch usa per ora questo tipo di hijack, quindi sarebbe consigliabile usare il programma Cwshredder.
I sintomi comuni per questa infezioni sono la chiusura inaspettata di Internet Explorer e la comparsa di fastidiosi pop-up.
Questa sezione corrisponde al dirottamento del foglio di stile dell'utente.
Chiave Di Registrazione: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles \: Utente Stylesheets
Es. O19 - User style sheet: c:\WINDOWS\Java\my.css
Normalmente se queste righe sono presenti si può procedere con la loro cancellazione
Sezione O20
O20 - AppInit_DLLs: msconfd.dll
Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano DLL al Login dell'utente, pochi programmi le utilizzano (Norton CleanSweep usa APITRAP.DLL), molti invece nuovi trojans e hijackers. Se precedute da ‘|’ indicano delle DLL nascoste.
Sezione O21
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Le voci del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.
Sezione O22
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Non documentata, solo CWS.Smartfinder è noto usarle sino ad ora. Cautela!.
Sezione O23
O23 - Service: VMware NAT Service - VMware, Inc. -
C:\WINDOWS\System32\vmnat.exe
In questa sez. vengono raggruppati tutti servizi di XP, del NT, 2003 e 2000. I servizi sono programmi di particolare entità che riguardano il S.O. e il sistema di sicurezza, tali programmi hanno la caratteristica di partire in via automatica prima del logon utente. Si consiglia di verificare attentamente i servizi elencati, in quanto di recente queste applicazioni risultano un ottimo nascondiglio per eventuali malware.
Permessi di invio
Rispondi quotando