QUESTO ARTICOLO E\' DIVISO IN PIU\' PAGINE

Se non abbiamo preso le dovute precauzioni per proteggere il nostro sistema, o se queste non si sono rivelate efficaci, non ci sono alternative e bisogna passare dalla fallita prevenzione alla forzata cura del notro PC. Alcuni ospiti indesiderati si dimostrano resistenti ai tentativi di rimozione, più disparati o danno l’illusione di poter essere cancellati, salvo ricomparire al riavvio del sistema. Il nostro blog, da sempre attento alla sicurezza dei nostri lettori, illustra oggi una guida dettagliata all’utilizzo di uno dei più potenti sterminatori di malware in cirolazione. Hijackthis è infatti in grado di estirpare la radice di qualsiasi tipo di programma malevolo installato sul nostro PC. Vediamo nel dettaglio la guida a HijackThis.

HIJACKTHIS

Rispetto ai più noti scanner antimalware, che analizzano ciascun file identificando quelli infetti per ripararli o eliminarli, HijackThis, si distingue per un approccio completamente diverso. Oggetto della sua ricerca sono infatti le chiavi di esecuzione, espressione insolita che include una notevole varietà di parametri di sistema. Si spazia dalle applicazioni in avvio automatico, alla pagina iniziale e ad altre impostazioni del browser, che l’integrazione di Internet Explorer in Windows confonde pericolosamente con le Opzioni Internet del sistema, passando per componenti aggiuntivi e applicazioni sconosciute.

Denominatore comune in una lista all’apparenza un po’ confusa? Semplice: quelle appena citate sono le “porte” di cui il malware si serve per insediarsi nel sistema. Solo analizzandole in simultanea è possibile riscontrarne e rimuoverne la presenza, sfuggita ad altri e pur validi programmi proprio a causa dei differenti criteri di analisi.

COM’E’ STRUTTURATO L’ARTICOLO ?




NUOVI COMPONENTI AGGIUNTIVI NELLA VERSIONE 2.04

1. Accesso alla sezione Config 2. Tutte le configurazioni possibili
IGNORELIST: Rispetto alla precedente versione, che si limitava alla scansione, HijackThis si è arricchito di nuovi strumenti e di una maggiore configurabilità. Facendo clic su Config, in basso a destra nell’interfaccia principale, si apre una varietà persine inattesa di opzioni. Al centro troviamo una sorta di Quarantena per le voci eliminate e quelle ignorate, vale a dire contrassegnate affinchè la normale scansione non le includa nel log. Se siamo pentiti della nostra decisione, il loro ripristino sarà davvero questione di secondi.

MAIN: La sezione Main include i settaggi di massima e le impostazioni di IE, che verranno prese come parametro rispetto al quale segnalare eventuali modifiche.

MISC TOOLS: Misc Tools racchiude una serie di strumenti aggiuntivi, fra cui l’utilissimo Delete a file on reboot: Ce ne serviremo per eliminare al successivo riavvio un file non rimovibile durante una sessione di lavoro, magari perché utilizzato o bloccato da un processo di sistema. Raccomandiamo sempre la massima cautela nell’utilizzo sia di questo strumento sia di quelli appena descritti.

BACKUP: Ci fosse capitato di eliminare per sbaglio una componente non solo innocuo, ma vitale per il funzionamento di Windows, avremmo rischiato che quest’ultimo non fosse più neppure in grado di avviarsi. Rispetto alla versione 1.99, che pure brillava in situazioni difficili, è stato introdotto un provvidenziale “salvagente” con la funzione di backup. Attiva per impostazione predefinita, salva i singoli elementi in un’apposita sezione simile alla Quarantena degli antivirus per consentirne il ripristino. Attenzione, però, a non prenderla come un “via libera” per eseguire interventi alla leggera.

QUAL’E’ IL SIGNIFICATO DELLE ABBREVIAZIONI E SIGLE ?

Districarsi fra le sigle, tecnicamente precisissime ma non certo intuitive nel loro significato,  con cui HijackThis classifica gli elementi rilevati rimane piuttosto complesso.

1. Sigle misteriose 2. Numeri e significato
R: La R iniziale contrassegna homepage e motore di ricerca predefinito del browser che gli hijackers, da cui il nome del programma, modificavano all’insaputa dell’utente per reindirizzarlo forzosamente verso siti non proprio affidabili. Il loro declino a favore di tecnologie malware molto più sofisticate e i timidi passi avanti nella sicurezza di Internet Explorer, almeno rispetto alla disastrosa versione 6, hanno relegato in secondo piano questo tipo di minacce.

O1: Assai più insidiose le voci indicate da O1, poiché si tratta di aggiunte effettuate direttamente nel file hosts. Nascosto in una selva di sottodirectory, C:\Windows\system32\etc\drivers\hosts, e pesante pochi kilobytes, ha il cruciale incarico di memorizzare l’associazione fra i singoli computer e i rispettivi IP, compreso l’host locale 127.0.0.1, assegnato di default alla macchina su cui stiamo lavorando. Inquinandolo con rimandi a siti più o meno pericolosi, si devia la navigazione non solo di IE, ma in questo caso di tutti i programmi con accesso alla Rete. Se troviamo reindirizzamenti di questo genere e non siamo stati noi ad aggiungerli modificando a mano il file hosts, cancelliamo senza indugio le voci corrispondenti.

O DA 2 A 16: Le altre sigle con O seguita da un numero compreso fra 2 e 16 sono meno inquietanti, forse perchè meno difficili da evitare. Qui finiscono tutti i componenti aggiuntivi per IE, a partire da quelle toolbar così spensieratamente installate da tanti utenti alle prime armi e che, nella migliore delle ipotesi, assestano poderose mazzate alla stabilità del sistema. Cancellarli indiscriminatamente è sbagliato, perché nella “pulizia” potrebbero finire per sbaglio moduli del tutto leciti, per esempio quelli aggiunti da Java. Evitare di integrare Internet Explorer col primo add-on che ci capita a tiro, e meglio ancora sostituirlo con un browser alternativo, significa comunque risparmiarci parecchio lavoro.

O17: Occhi aperti per sigle da 017 in su, perché qui si sconfina in tecniche molto più raffinate, che prendono di mira i parametri vitali del sistema.





VERIFICARE IL LOG

1. Analisi del Log sul Web 2. Sicure o pericolose ?
1. Inquadrato l’argomento, rimane sul tappeto la domanda principale: come interpretare correttamente il risultato di una scansione? Se l’abbiamo lanciata col comando Do a System scan and save a logfile, al termine si aprirà il Blocco note di Windows col resoconto dettagliato. Copiamone per intero il testo e incolliamolo nel box in fondo alla seguente pagina, completando il tutto con un clic su Analizza.

2. La pagina successiva, caricata molto rapidamente, mostrerà il riepilogo delle voci rilevate da HijackThis accompagnate da una valutazione sulla loro pericolosità. Il rating dei singoli elementi viene aggiornato dalle segnalazioni degli utenti, che introducono applicazioni sin li sconosciute e correggono con apprezzabile tempismo vantazioni errate in un senso o nell’altro. Benché gratuito, efficiente e quasi sempre preciso nei suoi responsi, nonché aperto al nostro contributo, questo strumento online fondato su una community aperta non può essere l’unico al quale affidarci.

ANALISI PIU’ APPROFONDITA

1. Verifichiamo i processi con ProcessLibrary 2. Moduli e processi avviati in automatico
1. Siti come www.liutilities.com ospitano un elenco il più possibile aggiornato dei processi di sistema con le rispettive denominazioni, mentre su syslnfo.org sono riuniti con analogo criterio moduli e processi avviati in automatico con Windows. Se la voce sospetta non rientra in questi elenchi, magari poco immediati nella consultazione ma comunque preziosissimi, le quotazioni della sua pericolosità salgono sensibilmente.

2. Attenzione, però, a due tecniche particolarmente insidiose con cui il malware si mimetizza nei meandri di Windows: la quasi omonimia, che può sfuggire a una lettura frettolosa, e l’ancor più perfido stratagemma di insediarsi con lo stesso nome di un processo di sistema, ma in una cartella diversa da quella di competenza. In caso di ulteriori dubbi, non trascuriamo una ricerca su Google, consultando un buon numero di fonti aggiornate per conoscere le esperienze e i consigli di chi ha avuto lo stesso problema. In alternativa potete postare il Log nella nostra sezione dedicata presente sul Forum.

MAGGIORI INFORMAZIONI
SITO UFFICIALE DOWNLOAD

Leggi anche:

 

QUESTO ARTICOLO E\' DIVISO IN PIU\' PAGINE

« 1 2 3 Articolo Intero»