Si chiama Hijacking (si pronuncia "ai-gieching") ed è una delle pratiche di violazione della privacy più diffuse e fastidiose.
Un "hijacker" è un programma malevolo, spesso paragonato ad un virus, che si installa sul sistema veicolato da altri applicativi (mimetizzato da sponsor o da plug-in per il browser), oppure sfruttando alcune debolezze del sistema: una volta dentro, modifica la pagina iniziale del vostro navigatore e impedisce di ripristinare lo stato iniziale delle cose.
Molti Hijack sono innestati da siti pornografici, per cui la gravità della cosa è ancora maggiore: pensate alla figuraccia di aprire il browser web dell'ufficio davanti al vostro superiore e vedervi comparire le ultime prodezze di Giovannona CosciaLunga...
HijackThis è un programma molto interessante, che si occupa appunto di ripulire il sistema da questi programmi indesiderati (permettendovi di ripristinare www.MegaLab.it come vostra pagina iniziale).
Per prima cosa, scarichiamo il programma. Nella nostra sezione download trovate il link per la pagina ufficiale di TrendMicro, da cui prelevare il programma.
Una volta avviato il programma, vi appare questa schermata: si tratta di una sorta di pannello di controllo, in cui sono indicate le principali possibili opzioni.
Se mettete il flag su Show this frame again when I start Hijackthis, tale schermata vi verrà mostrata all'avvio del programma. Togliendo il flag, invece, si passa subito alla fase di scansione e controllo.
Cliccate su Scan e in pochi secondi comparirà il risultato della scansione.
Selezionate le caselle delle voci che avete analizzato, e che sono ritenute pericolose. Quindi premete il pulsante Fix checked per eliminarle.
Prima di procedere ad un'eventuale rimozione, premete Save log. Vi viene proposto di salvare un file denominato HijackThis.log, che potrete aprire con Blocco note o con un qualsiasi editor di testo. Questo file contiene il risultato della scansione che avete appena effettuato.
Avvertenza importante: quando usate il programma in questione, NON CANCELLATE subito ciò che viene individuato. Infatti, gran parte delle voci riportate dalla scansione sono "giuste" e non devono essere rimosse.
Se avete dei dubbi, postate sul nostro forum, nella sezione sicurezza, il contenuto del file HijackThis.log, segnalando il vostro problema. In questo modo, ci aiuterete a trovare la soluzione che fa al caso vostro (N.B. controllate prima attentamente che non vi siano già discussioni relative ad un problema analogo). Prima di cancellare "a casaccio", è altamente raccomandabile discutere i risultati su forum tematici.
Vi viene chiesta conferma circa l'eliminazione di ciò che avete selezionato in precedenza.
Nel caso venisse eliminata qualche voce di troppo, basta portarsi su Config – Backups. Qui troverete la lista di ciò che avete cancellato. Selezionate la voce da ripristinare e premete Restore per riportarla alla sua originaria collocazione.
Al contrario, se l'eliminazione di quella voce ha risolto il vostro problema, con Delete eliminate anche il file di backup.
Riportiamo tutte le voci che potrebbero uscire dalla scansione. Per ognuna di esse è indicato il relativo significato.
R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing Microsoft Internet Explorer BHO's
O3 - Enumeration of existing Microsoft Internet Explorer toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of'Internet Options'Main tab with Policy
O7 - Disabling of Regedit with Policy
O8 - Extra Microsoft Internet Explorer context menu items
O9 - Extra'Tool'menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in Microsoft Internet Explorer'Advanced'settings tab
O12 - Microsoft Internet Explorer plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program File item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key
O23 - Enumeration of NT Services
O24 - Enumeration of ActiveX Desktop Components
Alcune delle voci più importanti sono R0, R1, R2, R3. In esse si celano tutti i reindirizzamenti a pagine e siti diversi da quelli che abbiamo impostato.
Tutte le righe che iniziano con 01,010,015 sono da verificare e, se necessario, da eliminare con HijackThis.
Nel 01 potrebbero esservi alcune impostazioni relative alla vostra rete LAN, tra cui il proxy con cui accedete ad Internet.
In O2 e 03 si annidano gli Spyware più resistenti, solitamente toolbar di vario genere.
04 mostra tutti i programmi (virus e dialer compresi) che vengono caricati in esecuzione automatica all'avvio del PC.
Configurazione e utility
Scegliete il pulsante Config e controllate che nelle opzioni Main sia abilitato Make backups before fixing items, in modo da salvare ciò che cancellate per poi recuperarlo in caso di bisogno.
Nella Ignorelist si possono inserire le voci "sicure", che alla scansione successiva non saranno oggetto di nuovi controlli.
Basta selezionare una voce durante la scansione e poi premere Add checked to ignorelist.
Tuttavia, la scansione è così veloce che l'utilizzo di tale funzione non risulta essere di grande utilità.
Nei Misc Tools troviamo alcune funzioni piuttosto importanti.
Con Generate StartupList log, se mettete il flag su List also minor section (full), potrete avere un dettagliato rapporto di tutti i processi e dei servizi attivi sul vostro computer.
Con Open process manager avrete un sostituto del Task manager di Windows, con cui terminare applicazioni pericolose.
Premete Kill process. Confermate con Si per chiudere l'applicazione.
Se l'applicazione è un servizio di Windows, essa non può essere chiusa da HijackThis, ma solo dagli Strumenti di amministrazione presenti nel Pannello di Controllo di Windows.
Con Open hosts file manager, potrete modificare il file hosts, contenente un elenco di nomi e indirizzi (alcuni buoni, altri utilizzati da siti di solito di genere pornografico o pubblicitario), per reindirizzare la navigazione verso di loro.
Aprendo il file hosts su un PC pulito, l'unica voce che troveremo, oltre ai commenti riconoscibili dal simbolo #ad inizio riga, è 127.0.0.1 Localhost.
Se vi sono altre voci, diverse da quelle che avete inserito, potrete tranquillamente eliminarle.
Delete file on reboot vi permette di selezionare un file da cancellare al prossimo riavvio del PC. Si tratta di un'opzione molto utile quando avete dei file, in uso da Windows, che non è possibile cancellare.
Delete an Nt service permette di cancellare un servizio di Windows.
Dovete inserire il nome del servizio che trovate tra parentesi nel log di HijackThis
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas - D: \Virit\viritsvc.exe
Vi chiederanno di confermare l'eliminazione del servizio, quindi di riavviare il PC per applicare la modifica.
Fate attenzione nell'utilizzare questa funzione: cancellare il servizio sbagliato potrebbe provocare gravi problemi, anche peggiori di quelli che state cercando di risolvere.
Il pulsante Open Uninstall manager permette di cancellare alcune voci dalla lista delle applicazioni, senza però disinstallare il programma. Inoltre, consente di modificare i comandi per la rimozione del programma, laddove una disinstallazione forzata richiedesse opzioni particolari.
HijackThis è in grado di ripulire il PC in modo ottimale, poiché individua ed elimina insidie che i comuni antispyware non riescono a rimuovere. Per questo ne consigliamo l'uso.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati