Guida alla lettura del log HiJackThis

Guida alla lettura del log HiJackThis

1- Premessa

HiJackThis è un programma free (libero), che inizialmente fu progettato da Merijn.org, poi successivamente, precisamente nel marzo del 2007, fu acquistato dalla nota società Trend Micro.

1.1- Funzione del programma

Tale programma è stato ideato per analizzare a fondo le modifiche effettuate su chiavi di registro del sistema, file host, i vari processi attivi in memoria e i componenti aggiuntivi del browser. Il software mostra anche informazioni relative al sistema in uso (del tipo: versione del proprio sistema operativo, service pack installato, versione del browser Internet Explorer).

1.2- Installazione e Download

HiJackThis può essere prelevato dal seguente sito web e nelle seguenti modalità:

Dowload HiJackThis zip ( Scarica il file nel archivio zip).

Installare il programma è molto facile: all'avviso “Eseguire il file“ confermate cliccando con il mouse su Esegui .
Proseguendo verrà richiesto il percorso dove installare, confermate cliccando con il mouse su Install; finita l'installazione sarete pronti per avviare il programma.

1.3- Primo Avvio

Per avviare HiJackThis recarsi in :

Start→ Tutti i Programmi → HiJackThis;

cliccare con il mouse su "Main Menu", poi su "Do a system scan and save a logfile" (Fig. 1)



La prima schermata può sembrare al quanto difficoltosa ma noi tratteremo soltanto la prima voce: "Do a system scan and save a logfile", attendete il completamento della scansione e la comparsa a video di un file block note (Fig. 2)



che analizzeremo in modo approfondito nei capitoli successivi.

2 – Intestazione e running processes

La prima parte del file possiamo definirla “l'intestazione”: qui sono riportate le informazioni relative alla versione di HiJackThis utilizzata, la data di scansione, il proprio sistema operativo e la versione del browser Internet Explorer. Per comprendere meglio riporto di seguito un esempio di intestazione:



A seguire si può notare la voce Running processes: si tratta dei processi che sono attivi al momento in cui abbiamo eseguito la scansione, di seguito un esempio :



Bisogna prendere in grande considerazione l'analisi di questa parte del log, quindi controllate in modo dettagliato ogni processo, se non si conosce uno o più dei processi vi rimando alla sezione 3 e 3.1 dove si tratta la ricerca on-line.

2.1- Significato delle sezioni (R0, R1, F0, F1,N1,N2,N3,N4.)

Ora che abbiamo ben compreso i processi in uso possiamo proseguire nella spiegazione delle varie voci (R0, R1, F0,F1,F3,N1,N2,N3,N4).
Dobbiamo precisare che in un log di HiJackThis non sempre sono presenti tutte le voci sopra elencate.
Tornando al discorso precedente, di seguito riporto la spiegazione per ogni singola voce:

Gruppo R

R0: si riferisce alla pagina iniziale di Internet Explorer anche detta Home Page
R1: indica la pagina di ricerca predefinita

Esempio chiavi R0 e R1:



Gruppo F

F0: Tale voce si riferisce all' istruzione shell in system.ini; è da precisare che tali voci sono presenti in Windows 9x e servono per determinare i programmi che dovranno interagire con la funzionalità shell. Per chi non conoscesse, la shell ha lo scopo di far “comunicare” con il sistema, gestire le finestre ecc.
Possiamo dire che gli elementi F0 sono con molte probabilità elementi nocivi, escludendo explorer.exe

F1: Questa voce sarà presente solo se usiamo sistemi operativi Windows 3.1, 95, 98 e ha lo scopo di mostrare i programmi che dovranno fare lo startup al avvio del sistema, generalmente si può dire che se non si utilizza uno dei sistemi operativi sopra elencati la presenza di questi voci è molto sospetta, ma fate comunque molta attenzione a ciò che rimuovete: a volte potrebbero far riferimento a vecchi programmi; quindi è bene documentarsi. Per questo vi riporto ai paragrafi 3 e 3.1.

Gruppo N

N1: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 4
N2: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 6
N3: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Netscape 7
N4: Corrisponde alla pagina iniziale e alla pagina di ricerca predefinita di Mozilla

2.2- Componenti attivi e programmi caricati in avvio

Molto spesso capita che si installino programmi che di default partono al avvio, di fatto però anche i virus e applicazioni dannose tendono ad avviarsi automaticamente, quindi è bene controllare con esattezza il percorso dell'applicazione; le voci relative all'avvio automatico sono tutte quelle che riportano la sigla 04; alcuni esempi di seguito:



Per molte applicazioni e processi di Windows è indispensabile partire al avvio, per un corretto funzionamento del sistema, per tanto consiglio di eliminare solo se si è certi che il programma è dannoso o non è necessario che parta all'avvio.

2.3- Note tecniche su percorsi e chiavi di registro

Gruppo O1: la voce fa riferimento alla modifica del file hosts, molti malware hanno lo scopo di apportare modifiche al file per far in modo che l'utente venga indirizzato su pagine mirate

Gruppo O2: la voce 02 fa riferimento a oggetti chiamati BHO (Browser Helper Objects), tali oggetti vengono sfruttati ed eseguiti molto spesso per aggiungere funzionalità al browser Internet Explorer; ma dato che non hanno bisogno di alcuna autorizzazione da parte del utente per essere installati sono il punto di forza di molte applicazioni dannose, controllate in modo accurato quindi che non ci siano voci 02 maligne; di seguito alcuni esempi:


Gruppo O3: la seguente voce fa riferimento alle varie Toolbar

Gruppo O7: il gruppo fa riferimento alla funzionalità di Windows di disabilitare l'accesso al registro di sistema, nel caso in cui la seguente stringa è presente nel log:


e non avete applicato tale impostazione è bene fixare la voce.

Gruppo O8: gli elementi di questo gruppo fanno parte delle applicazioni che vanno ad integrarsi con il Browser di Microsoft, troverete di fatto un gruppo 08 molto vasto, a volte però tale applicazioni non sono “benigne”, è bene quindi rimuovere le voci che vi risultano sospette, c'è da precisare che tali chiavi di registro devono poi essere eliminate manualmente in modalità provvisoria, di seguito alcuni esempi di voci 08:



Gruppo O9: questo Gruppo fornisce la lista dei plug-in che sono installati dal utente nella barra degli strumenti, molti di questi sono del tutto innocui, a volte però possono essere maligni, si consiglia quindi di eliminare tutte le voci sospette, come nel punto precedente, fixando le voci tali plung-in non verranno rimossi ma si dovrà provvedere alla rimozione degli stessi in modalità provvisoria; a seguire alcune voci 09 di esempio:



Gruppo O14: questa voce fa riferimento ad un file che contiene tutti i parametri da ripristinare in caso di reset del browser, molto spesso viene modificato questo file per far cambiare i valori con quelli del file maligno; un esempio di voce 014:



Gruppo O16: fanno riferimento a questa voce tutti i controlli ActiveX installati e presenti nella cartella C:\Windows\Downloaded Program Files. È frequente l'uso di questi controlli, quindi eliminate la voce solo se ci sono nomi che non vi sono noti; esempi di questo tipo di voce:




Gruppo O23: sotto questa voce sono elencati tutti i servizi di sistema che il programma non conosce; di seguito alcuni esempi:


3- La ricerca on-line

Un'importante strumento per capire se una voce è maligna o no è sicuramente internet, una fonte di informazione non indifferente; di seguito riporto alcuni siti che vi segnalano informazioni su file e/o processi. (ringrazio H5N1 per avermi fornito il materiale)

http://www.bleepingcomputer.com/filedb/
http://www.processlibrary.com/
http://www.pcreview.co.uk/startup/Altre risorse:
http://secunia.com/advisories/
http://www.prevx.com/malwarecenter.asp
http://www.processlibrary.com/
http://www.whatsrunning.net/whatsrunnin ... ntral.aspx

Altre risorse:
http://secunia.com/advisories/
http://www.prevx.com/malwarecenter.asp
http://www.processlibrary.com/
http://www.whatsrunning.net/whatsrunnin ... ntral.aspx
http://www.sysinfo.org/startuplist.php
http://support.microsoft.com/

Idee:
http://www.malwarehelp.org/understandin ... -hjt1.html
http://www.pchell.com/support/hijackthistutorial.shtml
http://hjt-data.trendmicro.com/hjt/anal ... -codes.htm

Le risorse verranno aggiunte di volta in volta. Qualsiasi utente che volesse fornire il link a siti inerenti è pregato di segnalarlo, verrà poi valutato dai moderatori se inserire il sito nella guida.

3.1- Come utilizzare i motori di ricerca e gli strumenti on-line

Un uso corretto delle delle query di ricerca può portare a risultati ben specifici e può avvantaggiare nel ritrovamento di informazioni su file e/o processi interessati. Uno strumento potente per questo scopo è sicuramente il motore di ricerca Google (http://www.google.it). Per ricercare informazioni basta scrivere il nome del processo o del file incriminato; un esempio potrebbe essere più facile da comprendere:

Se devo ricercare informazioni sul processo explorer.exe scriverò in Google explorer.exe, da questa ricerca verranno fuori una miriade di informazioni; per un analisi più selettiva e mirata è bene usare le query + o -: di seguito viene spiegato l'utilizzo di questa sintassi;

Ricerca con "+"

L'operatore + è fondamentale nella ricerca, questo serve per far si che Google includa nella ricerca caratteri che normalmente non verrebbero considerati; un esempio ci farà capire meglio:

Voglio ricercare un episodio specifico di una serie come guerre stellari, nel mio caso l'episodio 2. Digiterò quindi:



NB: da notare lo spazio messo dopo la parola "guerre stellari" e il +2

Ricerca con "OR"

A volte è necessario includere più termini nella ricerca questo può essere fatto mediante l'uso del operatore OR da notare il maiuscolo, ad esempio, per cercare informazioni su una vacanza a Londra o a Parigi:



Ricerca per dominio

Per fare in modo che Google restringa la ricerca solamente a uno specifico sito web, digitate i termini da ricercare, seguiti dalla parola "site", dai due punti (":") e dal nome del dominio; ad esempio vogliamo cercare la parola "office" al interno del sito http://www.manuali.it scriveremo:


Ricerca per intervallo numerico (disponibile solo in http://www.google.com)

Come da titolo questo tipo di ricerca è possibile sfruttando il motore che si torva alla pagina http://www.google.com: tale metodo permette di reindirizzare la ricerca ad un intervallo di numeri, ad empio vogliamo cercare in rete un lettore DVD che abbia un prezzo compreso tra 50 e 100 €. Scriveremo:


NB: dall'esempio si capisce che deve prima essere inserita la parola chiave, il prezzo minimo , i puntini, il prezzo massimo.

Analizzare il log via WEB

C'è la possibilità di analizzare on-line il proprio log, il sito su cui è possibile fare ciò è:

http://www.hijackthis.de/it

Come prima cosa è bene copiare il contenuto del log di HiJackThis: per fare ciò basta recarsi in modifica → seleziona tutto, copiate il testo precedentemente selezionato (combinazione di tasti Ctrl + c). Incollate il log nell'apposito spazio bianco presente nel sito (Fig.3)



e premete sul tasto Analizza; in alternativa si può selezionare il log da analizzare direttamente dal proprio Hard Disk utilizzando il tasto Sfoglia (Fig.4)



L'aiuto che il sito fornisce consiste in una segnalazione delle:

-Voci maligne: con una X rossa
-Voci sicure: con una V verde
-Elementi sospetti: con una X giallastra
-Elementi non conosciuti: con un punto interrogativo

Per comprendere meglio riporto un esempio (Fig.5)



Il servizio si basa su un database creato negl'anni dalle segnalazioni degli utenti e da un database di base del sito stesso. C'è da prendere in considerazione che questo metodo non è del tutto affidabile, ma fornisce informazioni indicative, quindi se non si è sicuri effettuate una ricerca con i motori di ricerca (Vedi sopra) oppure chiedete supporto al Forum.