Le classiche forme di infezione informatica, quelle da virus e worm per
esempio, da
parecchio tempo hanno una schiera di concorrenti molto numerosa e agguerrita.
Spyware,
adware,
trojan,
dialer,
keylogger sono tutti agenti estremamente fastidiosi ed invasivi che mettono
a repentaglio sicurezza e privacy di milioni di sistemi sparsi nel mondo.
Per tentare di rilevare e combattere queste nuove categorie di
malware una
serie di software specifici ha affiancato i classici antivirus. In molti casi questi strumenti di rimozione automatica danno buoni risultati
ma, si sa, i creatori di programmi dannosi sono sempre un passo più avanti e non
sempre i nuovi parassiti informatici vengono rilevati e rimossi.
È nata quindi l'esigenza, da parte dell'utenza più esperta, di un tool di
analisi che permetta di controllare manualmente e in modo rapido quelle
parti del sistema che più spesso vengono modificate da questi agenti nocivi. A
questo scopo Merijn software
ha creato Hijackthis.
Si noti che, a differenza degli strumenti automatici, il programma non
possiede un database relativo al malware e pertanto non è in grado, da solo, di
individuarlo. Hijackthis fornisce semplicemente un elenco di voci che
potenzialmente possono essere luogo di infezione. La decisione sui provvedimenti
da prendere nei confronti di tali voci è unicamente di pertinenza dell'utente che
se ne assume tutta la responsabilità.
Proprio per la natura manuale dell'operazione è sempre consigliato l'utilizzo
preliminare del maggior numero di strumenti di scansione automatica a
disposizione nel tentativo di risolvere il proprio problema.
In questo articolo si illustreranno le corrette modalità di utilizzo di
Hijackthis e si forniranno alcuni suggerimenti per l'interpretazione dei
risultati forniti dalla sua scansione.
Download e installazione
La pagina dei
download di Merijn contiene vari mirror da cui scaricare il programma che
può comunque essere reperito direttamente da
qui. La
release attualmente disponibile è la 1.99.1 ma si consiglia di visitare
periodicamente il sito del produttore per verificare la presenza di nuove
versioni in grado di analizzare nuove parti del sistema.
Per un corretto utilizzo del programma è essenziale che vengano seguiti i
seguenti passi:
- Se si scarica il programma in formato zip è molto importante che
venga estratto dall'archivio. Non lanciatelo direttamente dal programma di gestione
degli archivi compressi, quali WinZip o WinRar, altrimenti Hijackthis non potrà
eseguire il backup delle voci eventualmente eliminate dall'utente.
In questo caso, se si sono commessi errori durante la rimozione, non sarà
possibile tornare indietro. - Per un corretto funzionamento è consigliabile salvare l'eseguibile
estratto Hijackthis.exe in una apposita
cartella che avremo creato in una delle seguenti posizioni:
c:
c:programmi
- Prima di lanciare la scansione è importante chiudere tutti i programmi aperti e tutte le finestre del browser.
- Disconnettersi da Internet o dalla rete locale.
A questo punto possiamo lanciare Hijackthis.
Funzionamento
La schermata iniziale del programma presenta vari pulsanti.
Figura 1
Le voci più importanti sono le seguenti:
- Do a system scan and save a logfile: esegue una scansione del
sistema e produce il risultato (Log) visualizzandolo nel blocco note.
Questa è la funzione più usata quando si rende necessario pubblicare il log su
forum specifici presenti su internet per chiedere un consiglio sulle voci da eliminare. - Do a system scan only: esegue una scansione del sistema e presenta
le voci solo all'interno del programma. Attraverso questa funzione è possibile
selezionare gli elementi incriminati e procedere alla loro rimozione tramite il pulsante
Fix checked (figura 2). Dopo l'eliminazione è necessario riavviare il
sistema per verificare gli effetti dell'operazione.
Figura 2
- View the list of backups: visualizza l'elenco dei backup
effettuati. Da qui è possibile ripristinare voci erroneamente cancellate
dall'utente. - Open the Misc Tool section: contiene una serie di strumenti
avanzati molto utili all'utente più esperto. Tra i più importanti
troviamo:
- Process Manager: visualizza i processi in memoria e ne permette la
terminazione.
- Hosts file manager: permette la modifica diretta del file HOSTS
- Delete a file on reboot: permette la cancellazione di file all'avvio
della macchina. Questo strumento è utile per eliminare file che in condizioni
normali sono bloccati dal malware.
- Delete an NT service: permette l'eliminazione di un servizio nei
sistemi NT/2000/XP
- ADS spy (Alternate
Data Stream): verifica la presenza di questo nuovo tipo di spyware
- Uninstall manager: gestisce la disinstallazione dei programmi
esattamente come farebbe l'applicazione Installazione Applicazioni
presente nel pannello di controllo
Altri utili strumenti sono presenti in questa sezione. Tra questi la
possibilità di calcolare l'hash MD5 dei file scansionati per una loro
univoca identificazione.
Struttura del Log
Il log in formato testuale creato con la funzione Do a system scan and save a logfile
è composto da tre parti principali:
- Una intestazione di quattro righe in cui è presente la versione del
programma, la data e l'ora della scansione, la versione di Windows utilizzata
e la versione di Internet Explorer. Queste ultime voci sono importanti per
verificare lo stato di aggiornamento del sistema. Un sistema non aggiornato è
potenzialmente vulnerabile a nuove infezioni. - La seconda sezione indica tutti i programmi in esecuzione al momento della
creazione del log (Running processes). Da qui è possibile individuare
eventuali processi non legittimi associati ad oggetti dannosi presenti nel
nostro PC. - La terza e ultima sezione è la più importante in quanto visualizza lo
stato di tutti gli elementi di sistema che Hijackthis analizza durante la sua
scansione. Sono queste le voci su cui l'utente può agire per correggere
eventuali malfunzionamenti introdotti dal malware.
Gli elementi dell'ultima sezione sono a loro volta raggruppati in categorie
contraddistinte da una lettera e da un numero. Le categorie che iniziano con una
R, per esempio, si riferiscono alle impostazioni della pagina iniziale e di
ricerca di Internet Explorer. Quelle che cominciano con N si riferiscono invece
a Netscape. La categoria O1 indica voci sospette presenti nel file HOSTS che
potrebbero redirezionare la nostra navigazione su siti non desiderati o
impedirci la visita a siti legittimi. O2 indica
tutti i
Browser Helper Objects (BHO) caricati da IE mentre O3 si riferisce alle
barre degli strumenti. Una voce fondamentale è O4 in cui sono presenti tutti i
programmi lanciati automaticamente all'avvio. Altre voci si riferiscono a
servizi, protocolli, restrizioni di accesso, plugin aggiuntivi caricati dal sistema.
L'elenco
completo di queste categorie può essere reperito direttamente sul sito del
produttore.
Qui è disponibile una traduzione in italiano.
Strumenti per l'interpretazione del log
Decidere quali voci del log siano imputabili ad elementi dannosi richiede
molta esperienza e spesso l'operazione non risulta facile. Questa è la fase in
cui bisogna prestare molta attenzione poiché l'eliminazioni delle voci sbagliate
può pregiudicare il buon funzionamento del sistema.
In questo paragrafo si indicheranno alcune delle risorse consultabili per
aiutarci nella decisione. Per prime si sono elencate le soluzioni adatte ad un
utente poco esperto, per ultime quelle che richiedono più esperienza.
Se si è principianti in materia si consiglia di pubblicare il proprio log
su un qualche forum di sicurezza in cui persone
competenti possano consigliare cosa rimuovere. Merijn fornisce un nutrito elenco
di forum in lingua
inglese. Se l'inglese non è una lingua familiare è possibile sceglierne uno
in italiano come per esempio quello di
Html.it.
Importante: l'analisi del log costa tempo e fatica alle persone che
frequentano i forum. Per arginare la pubblicazione indiscriminata di log molti
moderatori hanno posto delle regole ben precise a cui gli utenti debbono
attenersi. In particolare è spesso richiesto l'utilizzo preventivo di tutti i
più comuni strumenti di scansione automatica come antivirus e antispyware. L'uso di Hijackthis insomma, viene
considerato l'ultima possibilità.
Alcuni siti danno la possibilità di effettuare un'analisi online
automatica dei log di Hijackthis basandosi su un proprio database:
I più noti sono:
http://www.hijackthis.de/
http://hjt.iamnotageek.com/
Nelle finestre di questi siti è presente un form in cui è possibile incollare
il log e ottenere un responso immediato contenente preziosi suggerimenti sulle
voci considerate nocive. Questi siti sono sicuramente molto utili per una prima
e sommaria analisi ma si raccomanda di non fidarsi ciecamente. Il database di
questi strumenti non è mai completo e spesso alcuni elementi vengono indicati
come sospetti semplicemente perché non se ne conosce l'origine. Prima di
eliminare una voce si suggerisce quindi di procedere ad una ricerca
sulla rete per ulteriori verifiche.
Google è sempre un ottimo
alleato. Se ne consiglia l'uso per la ricerca di processi sconosciuti o di altri
oggetti presenti nel log di cui si ignora l'origine. Alcuni ottimi siti inoltre
mettono a disposizione elenchi di processi, di processi lanciati all'avvio, di
servizi, di browser helper objects e altri elementi con l'indicazione della loro
provenienza e della loro pericolosità.
Di seguito si fornisce un elenco di
alcuni tra i più conosciuti. Questi risulteranno molto utili agli utenti più esperti
per determinare la reale pericolosità degli oggetti indicati dal log di
Hijsckthis.
Identificazione di processi e dll:
(sono in genere suddivisi tra processi di sistema, processi legittimi non di
sistema e processi appartenenti a malware):
http://www.iamnotageek.com/a/file_info.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.neuber.com/taskmanager/process/
Processi eseguiti all'avvio:
http://castlecops.com/StartupList.html
http://startup.iamnotageek.com/
http://www.sysinfo.org/startuplist.php
Identificazione di servizi:
http://service.iamnotageek.com/
Browser Helper Objects e Toolbars:
(viene indicato anche il codice CLSID che identifica l'oggetto, utile per
fare ricerche indipendenti del nome del file)
http://castlecops.com/CLSID.html
http://www.sysinfo.org/bholist.php
Elementi specifici appartenenti ad alcune categorie di Hijackthis: