Hijackthis es un programa que examina ciertas areas del registro de Windows y el disco duro y lista sus contenidos. Estas areas son usadas tanto por software legitimo como por software peligroso.
Se trata de una herramienta orientada a usuarios avanzados. El programa genera un Log que puede ser guardado como archivo de texto para que acá en el foro te lo analicen y te digan qué debes hacer al momento de tener problemas con tu PC.
Primero de todo que es un Log ?
Un log para este caso, es un reporte del scaneo que ha hecho nuestra herramineta, es el resultado estampado en un editor de texto, que por defecto es el notepad.
Una vez con el log a nuestro alcance, llega el momento clave: analizarlo....
Como se puede observar en el log, cada línea o ítem va precedida de una letra más uno ó dos números y hacen referencia a lo sgte.:
R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).
F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Mozilla.
O1: Redirecciones mediante modificación del fichero HOSTS.
O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones maliciosas.
O3: Toolbars para IE.
O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.
O5:Opciones de IE no visibles desde Panel de Control.
O6: Acceso restringido -por el Administrador- a las Opciones de IE.
O7: Acceso restringido -por el Administrador- al Regedit.
O8: Items extra encontrados en el menú contextual de IE.
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto).
O10: Winsock hijackers.
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
O12: Plugins para IE.
O13: Hijack del prefijo por defecto en IE.
O14: Hijack de la configuración por defecto de IE.
O15: Sitios indeseados en la zona segura de IE.
O16: Objetos ActiveX
O17: Hijack de dominio / Lop.com
O18: Protocolos extra / Hijack de protocolos
O19: Hijack de la hoja de estilo del usuario.
Veamos cada ítem con algo más de detalle:
Grupo R0, R1, R2, R3:
URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).
Si reconocemos las URL hacia las que apuntan R0 y R1 (R2 ya no es utilizado) como válidas, podemos dejarlas tal cual. Si por el contrario son nocivas o tenemos fundadas sospechas de que puedan serlo, es conveniente seleccionarlas y aplicar el "fix" de HJT.
Ejemplo de válidas:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
Si veis que aparece un valor con "(obfuscated)" final, como puede ser el del sgte. ejemplo:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mbnmmc.dll/sp.html (obfuscated)
...es muy posible que se deba a algún spyware, empleando algún método de ocultación para dificultar el reconocimiento. En estos casos suele ser conveniente aplicar el "fix".
R3 hace referencia a Url Search Hook, que es usado cuando en el recuadro de direcciones del navegador
introducimos alguna pero sin especificar su protocolo (http://, ftp://). En estas ocasiones, el navegador trata de utilizar el protocolo adecuado por sí mismo, pero si el intento no es exitoso, acude a Url Search Hook para tratar de resolver los datos que le hemos introducido como URL. Esta información se encuentra en la sgte. clave del registro:
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
Si el valor que os sale en esa clave es del tipo R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) ...con ese guión bajo final ( _ , resaltado en color para el ejemplo), suele ser conveniente hacer uso de Regedit para reparar a mano el nombre del valor,ya que HJT no puede solucionarlo en esos casos. No quitéis el valor numérico mostrado arriba, ya que es el empleado por defecto.,
Como norma general para R3, en caso de aparecer en el log, deberíamos indagar sobre la información mostrada. Si es referente a un programa que nosotros hemos instalado (el multibuscador Copernic, por ejemplo) y fuera de confianza, no pasa nada; pero en caso de ser algo sospechoso, lo indicado es aplicarle el "fix".
---------------------------------------------------------------------------------------------------------------
Grupo F0, F1, F2, F3:
Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
Hay reportados problemas graves para arrancar el sistema si tras fijar uno de estos ítems (especialmente F2) se ha llevado a cabo la restauración de un backup propio de HJT en su versión 1.97.7 (la actual) ...sed muy cautos por tanto y valorad los riesgos previamente. Aunque desde Nautopía recomendamos el uso de ERUNT para tales fines y probablemente solventase el problema, no nos hemos visto en situación de poder comprobarlo en la práctica ante esta situación concreta. Ahí queda el aviso...
F0: en caso de que aparezcan, desde Merijn.org recomiendan aplicarles siempre el "fix".
Su información procede de shell= en system.ini. En condiciones normales, esta ubicación indica el gestor del entorno gráfico del sistema, el responsable de cargar el escritorio al inicio del windows y permitir manejarnos con ventanas (si se me permite la licencia del símil, "las X" del mundo linux). Como habréis adivinado, nos referimos al explorer.exe ...pero (y este es el quid de la cuestión), si tras explorer.exe tenemos un morralla.exe, se cargará igalmente al iniciar nuestro win. Todo lo que encontréis aquí tras explorer.exe, se convierte en altamente sospechoso.
---------------------------------------------------------------------------------------------------------------
F1: suelen deberse a programas muy antiguos y lo indicado es buscar información sobre ellos para decidir si son sospechosos o no.
Su información procede del win.ini, concretamente de Run= o Load=; el primero se empleaba con antiguos programas para que se cargaran con el arranque de win (hablamos de Win 3.1/95/98), pero hoy no es habitual; el segundo se empleaba para cargar controladores de hardware.
El listado Pacman's Startup List os puede servir a nivel orientativo para identificar ejecutables.
---------------------------------------------------------------------------------------------------------------
F2 y F3 vienen a utilizar el equivalente de los anteriores pero en los windows de núcleo NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional; estamos hablando de entradas en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
La primera se emplea para permitir la compatibilidad hacia atrás con aplicaciones de uso en los Win 9x. Mediante la función IniFileMapping se ha colocado en el registro cada línea aparecida en el fichero .ini, de manera que al utilizar un programa que haga uso de él, va a buscarse primero la equivalencia en el registro.
La segunda cadena nos habla de lo que se carga inmediatamente después de que el usuario se loguea al iniciar el sistema. Userinit.exe se encuentra en C:\WINNT\system32 o en C:\WINDOWS\system32, según el Win que empleemos (a lo largo del artículo, indicaremos C:\WINNT o C:\WINDOWS como [**]); su función es meter el perfil de cada usuario tras el login.
En este caso el problema viene si aparece un morralla.exe (treta frecuente de ver en troyanos) tras userinit:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\morralla.exe
Esto se ve en la información del valor userinit, picando dos veces sobre él desde regedit; estaría de la sgte.manera, separado simplemente por una coma :
Userinit = [**]\system32\userinit.exe, [**]\morralla.exe
No preocuparos si bajo Win NT encontráis el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de morralla y/o troyano.
Grupo N1, N2, N3, N4:
URLs de páginas de inicio/búsqueda en Mozilla.
N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.
El uso de estos navegadores no está tan extendido como el de IE y por tanto, están menos expuestos a la acción de morralla especializada; sin embargo, haberla hayla (de la extensa familia Lop.com por ejemplo). Si os aparece una entrada de este nivel y no la reconocéis como vuestra página deseada de inicio/búsqueda, lo indicado es marcarla y aplicarle el "fix" de HJT.
---------------------------------------------------------------------------------------------------------------
O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com ...al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS.
De esta manera evitamos que se pueda acceder a dicho dominio indeseable.
Sin embargo, puede ser empleado con fines maliciosos por la morralla que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP morralla) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP morralla. Esto redireccionamiento suele ser frecuente de ver por parte de los hijackers.
Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el "fix" de HJT.
Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts ...casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el "fix", aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser (en este orden) delcwssk y CWShredder
---------------------------------------------------------------------------------------------------------------
O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones morralla. Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha.
En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}). Las allí señaladas en Status como "X" son catalogadas de spyware, las "L" como normales o limpias.
Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, os lo mostrará catalogado como "L", es decir, normal, ya que está originado por nuestro Adobe Acrobat Reader.
Si por el contrario el resultado de vuestra búsqueda os lo mostrara como "X", ya sabéis que se trata de spyware y conviene aplicarle el "fix". Es preciso que en ese momento no tengáis abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si tras aplicar el "fix" veis que vuelve a salir en el listado, será preciso reiniciar en modo a prueba de fallos (modo seguro) para erradicarlo.
O3: Toolbars para IE
Definicion de toolbar:
Suelen ser un grupo de botones situados generalmente bajo la barra de herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.
Su ubicación en el resgistro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar
Ejemplo normal:
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
Como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec.
Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para tratar de salir de dudas respecto a su identidad. El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como "X" (spyware) o "L" (limpio). En caso de ser spyware, conviene marcar el ítem y aplicar el "fix" de HJT.
---------------------------------------------------------------------------------------------------------------
O4: Aplicaciones de carga automática en inicio de Windows por Registro/grupo Inicio
La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio.
Claves del registro implicadas:
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run
Ejemplo:
O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe
Los directorios del grupo Inicio pueden tener estas ubicaciones:
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio ...reflejado en el log de HJT como Global Startup; son programas que se cargan para el perfil de todos los usuarios.
Ejemplo:
O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio ...reflejado en el log de HJT como Startup: programas que se cargan sólo para el perfil de ese USUARIO.
Ejemplo:
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
Al igual que para el Grupo F, ante la duda, el Pacman's Startup List os podría servir a nivel orientativo para identificarlos.
Si os encontráis con un ítem indeseable y deseáis aplicarle el "fix", no será exitoso mientras el proceso esté activo en memoria. En esos casos, primero debéis acudir al Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HJT.
---------------------------------------------------------------------------------------------------------------
O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una entrada en el fichero control.ini ubicado en [**] (C:\WINNT o C:\WINDOWS, según versión del SO), lo que se reflejaría en el sgte. ítem del log de HJT:
O5 - control.ini: inetcpl.cpl=no
...pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación morralla que de esta manera trate de dificultar que cambiemos las Opciones del IE. Si se trata de esto último, es conveniente aplicarle el "fix" de HJT.
---------------------------------------------------------------------------------------------------------------
O6: Acceso restringido -por el Administrador- a las Opciones de IE
Si el acceso está restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la pág. de Inicio...), aparecerá un ítem como el sgte.:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso... , observaríamos este otro:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el "fix".
---------------------------------------------------------------------------------------------------------------
O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (no es infrecuente en políticas de seguridad corporativas), se refleja en un ítem como el sgte.:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicarle el "fix" de HJT.
---------------------------------------------------------------------------------------------------------------
O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que obtenéis al picar con el botón derecho sobre la web que estáis viendo. Os muestra diferentes ítems o líneas de selección y pueden deberse a aplicaciones normales, pero también a spyware. Las diferentes opciones en ese menú se albergan en la sgte. cadena del registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal:
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Pero si no reconocéis la aplicación responsable del ítem extra en el menú contextual y sospecháis que sea por morralla, podéis aplicarle el "fix" de HJT.
---------------------------------------------------------------------------------------------------------------
O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto)
Si tenéis botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluídos en la instalación por defecto) y queréis deshaceros de ellos por sospechar que provengan de morralla, deberéis fijaros en este ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
En los normales no es preciso hacer nada, pero ante casos indeseables que queráis hacerlos desaparecer, el "fix" de HJT debería poder con ellos sin problemas.
---------------------------------------------------------------------------------------------------------------
O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podéis dañar vuestra conexión a Internet. Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseñas mostradas en este ítem O10, emplear versiones modernas de Spybot S&D o la herramienta LSPFix de Cexx.org mejor que actuar con HJT . Es por ello que os remitimos a esas dos alternativas en vez de profundizar en este punto.
No os preocupéis si veis aquí referencias a algún módulo de vuestro antivirus. Puede ser normal en aquellos que actúan a nivel del winsock.
---------------------------------------------------------------------------------------------------------------
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptionsDesde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (morralla) sería como sigue:
O11 - Options group: [CommonName] CommonName
...si tenéis ese caso, marcadlo y aplicar el "fix" de HJT. Si es otro distinto, en principio se convierte en sospechoso y requerirá que busquéis información por la red acerca de su procedencia.
---------------------------------------------------------------------------------------------------------------
O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.
Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar por la red su procedencia.
No obstante, se tiene reportado algún caso claro de morralla en este apartado como es el plugin de OnFlow, que se detecta fácil por su extension *.ofb; si os lo encontráis, conviene marcarlo y aplicar el "fix".
---------------------------------------------------------------------------------------------------------------
O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.). Por defecto IE tratará de emplear http://, pero es posible modificar este valor en el registro mediante la sgte. cadena:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix\
De hecho, existen aplicaciones morralla que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea. Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?", de manera que cuando el usuario introduce "www.google.com", automáticamente es derivado a "http://ehttp.cc/?www.google.com", que es un site perteneciente a CWS. Como veis, avispados son.
Ejemplo nocivo de CWS:
O13 - WWW. Prefix: http://ehttp.cc/?...en estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como pueden ser delcwssk primero y CWShredder después (no olvidéis actualizarlo antes de aplicarlo). Pasar tras reiniciar el scan de HJT y comprobad si ha sido suficiente con ellas, aplicando finalmente el "fix" de HJT en caso necesario.
CWS tiene muchísimos dominios y es un listado en continua expansión; sed cuidadosos ahí fuera ;-)
Otros ejemplos morralla a los que podéis aplicar el "fix":
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
---------------------------------------------------------------------------------------------------------------
O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuracion por defecto. Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo. En estos casos es conveniente aplicar el "fix".
Ejemplo morralla:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
No obstante, tened cuidado porque no todo lo que aparece en este ítem tiene que ser nocivo. A veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc. En estos casos seguramente reconoceréis la URL mostrada y no será necesario ningún procedimiento.
---------------------------------------------------------------------------------------------------------------
O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según éstas, la permisividad en términos de seguridad es mayor o menor. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
Si por ejemplo hemos añadido www.nautopia.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:
O15 - Trusted Zone: www.nautopia.net
De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.
Pero puede darse el caso de que alguna compañía como AOL o morralla como CWS, introduzcan silentemente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la sgte. manera:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, le indicaremos a HJT su "fix".
O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files. La ubicación de almacenamiento es [**]\Downloaded Program Files
Podemos encontrar ítems normales como el del sgte. ejemplo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
Y otros típicos de morralla que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, toolbars indeseadas o palabras claves como casino, sex, adult, etc.
Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
En casos de morralla, podemos emplear tranquilamente el "fix" de HJT, pero si tras volver a escanear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8...) para proceder con su eliminación.
Spywareblaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilización preventiva.
---------------------------------------------------------------------------------------------------------------
O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio. Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo podrán redireccionarnos a donde les apetezca, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).
Ejemplo normal:
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37
...decimos normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es preciso hacer nada. Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.
Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como RIPE, ARIN, inclusive el propio Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia morralla, les aplicaremos el "fix" con HJT.
---------------------------------------------------------------------------------------------------------------
O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocol drivers estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.
HJT primero busca protocolos "no estándar" en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro:
HKLM\SOFTWARE\Classes\CLSID
Ejemplo morralla:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida morralla como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si los veis reseñados como tal en el ítem O18 de HJT, aplicadles el "fix".
---------------------------------------------------------------------------------------------------------------
O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle el "fix". Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear contra él las herramientas específicas citadas anteriormente.
Señalar que puede haber usuarios que tengan prefijada una hoja de estilo a su gusto, en cuyo caso no deberían prestar atención a este ítem.
---------------------------------------------------------------------------------------------------------------
Sección O20
Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.
Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aquí. Usa Google para investigar si los archivos son legítimos. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O20 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
---------------------------------------------------------------------------------------------------------------
Sección O21
Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.
Un hijacker que usa el método puede reconocerse por las siguientes entradas:
Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad
Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll
HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estándar y deberías considerarlo como sospechoso. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O21 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
---------------------------------------------------------------------------------------------------------------
Sección O22
Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.
Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler
Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll
Ten cuidado cuando remuevas los objetos listados en estas llaves ya que algunas son legítimas. Puedes usar Google para intentar determinar si éstas son válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O22 List
HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo tanto, debería reiniciar en Modo a Prueba de Fallos y borrar manualmente este archivo.
---------------------------------------------------------------------------------------------------------------
O23: Servicios
Todos los servicios de Windows NT/XP/2000/2003
Se recomienda usar siempre algun buscador para verificar que la entrada sea o no legal de windows
Esto es todo espero k hayan aprendido algo acerca de hijackthis salu2.
0 comentarios:
Publicar un comentario