Funzioni Avanzate di Hijackthis

Posted on giugno 22, 2007. Filed under: Guide sulla Sicurezza |

Hijackthis sviluppato da Merijn e recentemente acquistato dalla TrendMicro è un semplice strumento molto utile in quanto permette l’identificazione di spyware, malware, hijackers del browser.

Oltre al comando che l’ha reso celebre “Do a system scan and save a logfile”, che in pochi secondi controlla molte chiavo “sensibili” del registro di sistema nelle quali si annidano i comandi per avviare i malware, dispone anche di numerose funzioni altrettanto utili, le miscellaneous tools.

Analizziamole nel dettaglio:

Premendo “Open the Misc Tools section”, si accede ad una serie di strumenti, suddivisi in due sezioni: Startup list e System Tools.

Il pulsante “Generate Startup list log” crea un file di testo (startuplist.txt) che contiene tutto quello che viene caricato all’avvio del sistema, questo log può essere utile per trovare applicativi indesiderati .Sarebbe utile ad esempio conservare da parte uno startuplist.txt e confrontarlo con quello generato in seguito ad un’infezione.

Il pulsante “Open Process manager” apre un piccolo tool simile al Task Manager ma con più funzioni. Oltre ad elencare i processi attivi è possibile visualizzare le dll da essi caricati in memoria, accedere rapidamente alla finestra delle loro proprietà.

Il pulsante “Open Hosts file manager” apre un piccolo editor del file Hosts di windows solitamente contiene alcune righe di commento e come unica voce la scritta 127.0.0.1 localhost.
E’ un meccanismo sfruttato spesso dai malware che modificando il file hosts riescono a indirizzare gli utenti sui loro siti truffaldini anzichè su quelli legittimi.
Questo piccolo tool permette di editare rapidamente il file hosts ed eventualmente di disabilitare e riabilitare le voci in esso contenute

Il pulsante “Delete a file in reboot ” apre una finestra di explorer con la quale è possibile selezionare un file da eliminare al successivo riavvio della macchina.
E’ utile per quei malware che non possono essere cancellati normalmente perchè hanno attributi di sistema o sola lettura o perchè sono in esecuzione.

Il pulsante “Delete an NT Service ” che funziona solo su Windows NT, 2000 ed XP, permette di cancellare dal sistema un servizio ( 023 – Service) di Windows caricato all’avvio quando non si riesce a cancellare le voci con il “Fix”

Il pulsante “Open ADS Spy” apre una finestra nella quale è possibile cercare informazioni contenute negli Alternate Data streams. Si tratta di informazioni (o attributi) disponibili solo su partizioni NTFS. Alcuni trojan e spyware possono nascondersi negli ADS di file di sistema e difficilmente vengono rilevati dagli antivirus.

Il pulsante “Open Uninstall Manager” apre una schermata con l’elenco delle applicazioni installate nel computer. E’ la stessa lista accessibile da “Installazione Applicazioni” solo che permette di salvare la lista, eliminare dalla lista voci a riferimenti non più esistenti durante la pulizia di un malware.

Da qui è possibile scaricare una guida in .pdf

HijackThis è un tool che richiede una conoscenza avanzata del S.O. Windows per il suo corretto utilizzo. Se si procede con la cancellazione delle voci presenti nel log da lui generato senza conoscere a cosa si riferiscono, si può andare incontro a problemi molto più gravi rispetto ad una infezione di tipo malware.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: