HijackThis – Anti-Spyware Inteligent

Publicat vineri, 10 iulie 2009

HijackThis, cunoscut si ca HJT, este o aplicatie freeware de tip spyware-removal tool oferita gratuit de TrendMicro.
Unealta ruleaza pe sisteme de operare Microsoft Windows XP si mai noi.

Utilitatea acestei aplicatii de securitate a fost recunoscuta de-a lungul timpului de catre utilizatorii si dezvoltatorii ei deoarece este printre putinele aplicatii de tip spyware-removal ce foloseste un mecanism de detectie de tip heuristic. O aplicatie de inlaturare spyware / Spyware-removal ‘clasica’ va detecta amenintarile din calculatorul scanat printr-un proces de comparare permanenta a unor portiuni din fisierele de pe sistem, a memoriei RAM precum si a registrilor Windows cu o baza de date de semnaturi specifice spyware-ului. Aceasta metoda, desi eficienta, are o serie de dezavantaje fata de metoda HijackThis:
-procesul de scanare este consumator de timp;
-o baza de date neactuala nu va proteja impotriva celor mai noi amenintari;
-”industria” spyware genereaza un numar impresionant de noi metode de atac in intervaluri de timp foarte scurte.

HijackThis, pe de alta parte, foloseste o metoda heuristica pentru detectia spyware-ului: Aplicatia va genera foarte rapid o lista extinsa ce va contine toate serviciile, procesele, aplicatiile si plug-in-urile unor aplicatii ce ruleaza pe sistem la momentul scanarii. Aceasta lista va fi comparata cu o lista de referinta a unui sistem de operare cunoscut ca si “curat”. Acesta ultima lista insoteste aplicatia HijackThis, este stocata criptat, fara drepturi de scriere.

HijackThis va analiza, in ordine:

-Registrii Windows, unde va cauta orice modificari fata de baseline-ul “sigur”
-Fisierele de tip autoloading (.ini) unde va marca orice aplicatie ce porneste automat odata cu sistemul
-Fisierele de configurare pentru cele mai utilizate Web Browsere: Internet Explorer/Mozila Firefox/Opera, unde va cauta modificari ale paginilor de start implicite, ale plugin-urilor incarcate de browser la start-up etc.
-Alte locatii din Registrii Windows pentru a descoperi orice modificare, adaugare sau stergere de obiecte de tip BHO (Browser Helper Object), DPF (Downloaded Program Files), Toolbars, Dialers etc.

In urma verificarilor, aplicatia va genera un fisier log ce evidentiaza toate modificarile sau adaugirile din categoriile mentionate anterior. Acest log va fi analizat de utilizator pentru a decide care dintre elementele descoperite constituie posibile amenintari de tip spyware. HijackThis este o unealta deosebit de puternica pentru analizarea exhaustiva a starii de sanatate a sistemului de operare, insa, poate fi dificil de utilizat pentru utilizatorii ce nu sunt familiarizati cu notiunile de securitate IT.

In continuare vom analiza un Log HijackThis, explicand fiecare dintre elementele descoperite de aplicatie precum si masurile luate pentru eliminarea amenintarilor.

Log-ul generat de aplicatie prezinta o lista a tuturor nonconformitatilor descoperite in sistem, insa, pentru utilizatorul obisnuit, exprimarea poate parea criptica. HJT utilizeaza o codificare pentru a indica resursa in care a fost descoperita nonconformitatea, dupa cum urmeaza:

Rx – Problema descoperita la nivel de registrii (modificare, creeare sau stergerea unei chei de registrii)
Fx – Fisiere de configurare ale sistemului de operare ce au fost modificate
Nx – Modificari in configurarea implicita a browserelor Web si a plug-in-urilor acestora
Oxx - Alte modificari ale sistemului de operare cum ar fi: modificari ale fisierelor de configurare pentru anumite servicii Windows, instalarea de programe de tip dialer, adaugarea de tool-bar-uri si butoane in diverse aplicatii etc.

Cum interpretam rezultatele log-ului si care sunt actiunile corective?

In screenshot-ul alaturat putem observa cateva nonconformitati descoperite la nivel de registrii Windows (cod R0 si R1). Apasand butonul marcat cu albastru un screenshot, “Info on Selected Items” putem analiza problema descoperita.

La o prima vedere, in cazul primei chei “R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchBar=http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9…” putem considera ca este vorba despre un agent spyware raportat prin HijackThis.  Apeland la butonul “Info on Selected Items” observam, defapt, ca este vorba despre intrarea in registrii corespondenta Search-Bar-ului Yahoo ce vine instalat odata cu clientul Messenger. Stergerea acestei chei, prin selectare si apasare pe butonul marcat cu rosu, “Fix Checked” duce la eliminarea barei de cautare Yahoo ce apare in Internet Explorer.

Repetand pasii pentru fiecare dintre erorile semnalate de HijackThis putem distinge foarte usor intre amenintari reale de tip spyware si rezultate de tip “Fals-Pozitiv” care alerteaza asupra unor aplicatii legitime, instalate chiar cu stiinta utilizatorului, cum este cazul de mai sus.
In continuarea listei putem apela la acelasi algoritm de analiza pentru a verifica nonconformitatile codate Fx, Nx si Oxx. In cazul celor din urma, HijackThis va afisa o lista cuprinzatoare a tuturor aplicatiilor si serviciilor de sistem ce pornesc odata cu Windows-ul. Este foarte important de stiut cum ca o mare parte dintre agentii spyware sunt incarcati odata cu sistemul de operare, fie prin intermediul unui program ce este lansat la pornire “Auto Run” sau prin intermediul unui Serviciu nelegitim marcat ca fiind unul util.

Efectuati un scurt inventar al aplicatiilor utile ce pornesc odata cu calculatorul dumneavoastra. Notati denumirea fisierelor executabile prin care acestea sunt lansate. Din lista afisata de HijackThis, sectiunea Others – Oxx, stergeti orice intrare ce nu corespunde inventarului dumneavoastra, din ramurile StartUp si RunAtStartup.
Va recomandam, deasemenea, sa consultati Knowledge Base-ul Online al Microsoft pentru a va documenta asupra serviciilor esentiale pentru incarcarea sistemului de operare Windows, eliminand, astfel, toate serviciile nelegitime incarcate la pornire de agenti spyware, virus etc.

Regula de baza in lucrul cu HijackThis este: “Verifica de 3 ori si sterge o singura data” deoarece fiecare dintre modificarile posibile pot afecta stabilitatea sau chiar functionarea sistemului de operare! Asadar, utilizati aceasta unealta deosebit de puternica cu un grad sporit de atentie!