Академический Документы
Профессиональный Документы
Культура Документы
Hijackers
Modifican las opciones del navegador (generalmente el IE de Microsoft) para dirigirnos
a otros sitios, cambiando la pagina de inicio, etc. Por lo general estos ralentizan el
comportamiento del navegador (consecuentemente nos hace mas lento la navegación en
Internet) utilizando ActiveX maliciosos o vulnerabilidades en el navegador (por eso
recomendamos usar Firefox u Opera)
Spyware
Es un programa que, aunque no lo sepamos, se ejecuta en un segundo plano y
recopilando información de lo que hacemos en Internet (que navegador usamos, que
paginas visitamos, cuantas veces…). Toda esta información es enviada a los creadores
del spyware, violando nuestra privacidad. Todo esto sin nuestro conocimiento ni
consentimiento.
Toolbars
Conjunto de botones y accesos situado generalmente debajo de la barra de herramienta
del navegador. A veces estos toolbars pueden provenir de fuentes confiables, como
yahoo o google, pero a veces son el resultado de la presencia de BHO.
Ahora sí veremos como usar el HJT para deshacernos de todos estos molestos bichos
informáticos.
Después de bajarnos el HJT (seguramente comprimido en un .zip o .rar) es conveniente
crear una carpeta con el mismo nombre.
Ahora descomprimimos el HJT en esa carpeta. Esto es importante por que los backup
que genere el HJT se guardaran en esta carpeta.
NOTA: el HJT es un ejecutable, no se instalara, asi que para usarlo tenemos que ir a la
carpeta donde lo descomprimimos y hacer doble clic en el icono del HJT que se
encuentra ahí.
Cuando iniciamos el programa por primera vez seguramente nos saldra este cartel con el
siguiente aviso.
Básicamente lo que dice es que no todo lo que aparece en el log del HJT es un hijacker
y que tenemos que ser cuidadosos con lo que borramos, ya que si borramos
indiscriminadamente podemos causar problemas en el sistema. Recomienda que
pidamos ayuda a quienes saben del tema y mostremos el log para que nos digan que
borrar y que no. (podes hacer esto, aquí en el foro, en esta sección ).
Cuando se abre el programa vamos al ultimo botón, “…just start the program”.
Antes que nada, vamos a hacer clic en el botón Config, para entrar en el panel de
configuración del HJT.
En la solapa “Main” del panel de configuración nos aseguramos que todo este como se
muestra en la imagen (sobre todo que este marcada la casilla que dice “Make backups
before fixing ítems”) y luego hacemos clic en el botón “Backups”.
En esta solapa se alojaran todos los backups que el HJT haga. Desde aquí podremos
restaurar o borrar los backups que tengamos. Como dijimos anteriormente, borrar
equivocadamente un archivo puede causar problemas en nuestro sistema operativo, así
que creando y guardando los backups de cada acción podemos deshacer los cambios
hechos. Aun así, lo mejor es hacer un backup del registro con otro programa, o hacer un
punto de restauración. Bien, ahora hacemos clic en el botón “Back”.
Aquí hacemos clic en el botón “Scan” y el HJT hará un escaneo de llaves de registros,
procesos, ejecutables y demás y nos mostrara un listado. Es importante tener en cuenta
que mientras menos procesos tengamos, menor será el log del HJT, para eso podemos
abrir el administrador de tareas de Windows y finalizar procesos conocidos (programas
de grabación de cd, reproductores, etc…)
Como pueden ver, después del escaneo nos muestra los distintos procesos, cada proceso
tiene una clave diferente: R0, F0, O2 – O23.
F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las
funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones
maliciosas.
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado
Herramientas de IE (no incluidas en la instalación por defecto).
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
con el “(obfuscated)” al final, es muy posible que se deba a algún spyware. Lo que
debemos hacer es tildar este valor y darle al boton “Fix”.
R3 esta relacionado al Url Search Hook, esto es cuando ponemos una dirección sin
especificar su protocolo (http://, ftp://,). En este caso el valor es más o menos así:
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
con ese guión al final ( _ ) es aconsejable utilizar el regedit para reparar esta clave, pero
en ningún caso la borremos. Lo mejor es que investiguemos las diferentes claves R3 y si
hace referencia a un programa instalado por nosotros no hay problema, de lo contrario,
de ser sospechoso, lo seleccionamos y le damos fix.
F0 – F3
Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
ATENCIÓN: Puede haber graves problemas para iniciar el sistema (sobre todo con el
valor F2), aun después de haber restaurado el backup del HJT. Por eso como dijimos
anteriormente, lo mejor es que hagamos un backup del registro.
F0: si nos aparece esta clave, en Merijn.org recomiendan darle siempre fix.
Normalmente, esta clave hace referencia al gestor del entorno gráfico del sistema, el
responsable de cargar el escritorio al inicio del Windows y permitir manejarnos con
ventanas. En otras palabras, nos referimos al explorer.exe. Pero si después de,
explorer.exe, tenemos un morralla.exe, se cargará igualmente al iniciar nuestro sistema.
Por eso todo lo que encontremos aca, después del explorer.exe, se convierte en
altamente peligroso.
F1: Esta relacionado con programas antiguos y lo mas conveniente es buscar
información antes de hacer cualquier cambio, para cerciorarnos de si realmente es
nocivo o no.
Pueden consultar los Sitios de referencias , los cuales nos dan información de los
diferentes procesos, en este post .
F2 y F3 Son claves equivalentes al F1, pero en los Windows de núcleo NT (Win
NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional, sino
de entradas en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Es motivo para darle fix al HJT si, por ejemplo, en la segunda linea encontramos
después del Userinit, el v.s.t.exe:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=[**]\system32\userinit.exe,[**]\v.s.t.exe
( NOTA: el v.s.t.exe significa virus – spyware – troyano. Como seria imposible poner
todos los nombres de virus, englobamos a todos en estas siglas v.s.t. Por lo tanto, no
estoy diciendo que encontremos un v.s.t.exe, sino que esto representa al virus, spyware
y/o troyano que se haya metido en nuestra PC)
N1 – N3
urls de páginas de inicio/búsqueda de Nescape/Mozilla.
Como los navegadores de Nescape/Mozilla no son objetos de constantes ataques como
el IE, (en parte por el uso extendido de este último navegador) es menos frecuente que
encontremos problemas en estas entradas. Pero esto no quiere decir que estén exentos de
cualquier virus. Por eso si reconocemos la dirección web en estas claves no hay de que
preocuparnos, sino, lo seleccionamos y le damos fix.
y de esa manera, cuando pongamos esa dirección en nuestro navegador, nuestro equipo
primero lo buscara en el archivo HOSTS y si lo encuentra, se evitará resolverla
externamente mediante DNS.
Acá hay un ejemplo de un archivo hosts, que esta en el post anteriormente citado, donde
ya se le han agregado las direcciones de sitios altamente peligrosos (en la imagen solo
aparecen unos cuantos, la lista es realmente larga…)
De esta manera evitamos ingresar a sitios peligrosos. Pero debemos tener cuidado, esto
puede ser usado por v.s.t que queremos combatir, haciendo el proceso inverso. Si en
lugar del localhosts se utiliza una IP (llamémosla IP v.s.t) para direcciones que usamos
normalmente, como www.tecniconline.com.ar entonces cada vez que ingresemos esta
dirección en nuestro navegador, nos redireccionara a la pagina del IP v.s.t
Veamos un ejemplo:
Si tras el scan del HJT nos encontramos con esto
O1 - Hosts file is located at C:\Windows\Help\hosts[…]
Entonces es lo mas seguro que se trata del CoolWebSearch (CWS), por lo que hay que
seleccionarlo y darle fix, aunque se recomienda que primero intentemos sacarlo con el
CWShredder de Trend o
CWShredder de merijn
O3 Toolbars para IE
Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet
Explorer\Toolbar
Como vemos este toolbar pertenece a Norton Internet Security y por lo tanto no hay
peligro. Si no reconocemos la clave, entonces hacemos como en el caso anterior, vamos
a sysinfo.com e introducimos la clave entre {…} y ya sabemos, si nos aparece X,
entonces seleccionamos y le damos fix.
Por ejemplo:
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
Como verán, aparece Global Startup, lo que significa que esa aplicación se ejecuta para
todos los usuarios. Por el contrario, si solo aparece Startup, entonces esa aplicación se
carga para un solo usuario:
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft
Office\Office10\OSA.EXE
Como vimos en el caso del grupo F0 – F3, para reconocer que es lo que se carga
podemos ir al sitio Pacman’s Startup List o a cualquier otro sitio de listado de procesos
que se encuentran en el post citado anteriormente. Si identificamos algún item nocivo,
antes de eliminarlo con el HJT, asegurémonos de cerrar el proceso, mediante el
Administrador de tareas de Windows, o de ser mas rebelde, podemos usar el KillBox y
una vez que hemos cerrado el proceso y ya no esta activo en memoria, lo seleccionamos
con el HJT y le damos fix.
O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de
Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una
entrada en el fichero control.ini ubicado en (C:\WINNT o C:\WINDOWS, según
versión del SO), que se vería de la siguiente manera en del log de HJT:
O5 - control.ini: inetcpl.cpl=no
Pero, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo
caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación v.s.t. Si
confirmamos que esto es así, lo seleccionamos y le damos fix.
Si por ejemplo en esas mismas opciones del Spybot S&D no hemos marcado el
casillero Bloquear el acceso, observaríamos este otro:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Ejemplo normal:
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el
apartado Herramientas de IE (no incluidas en la instalación por defecto)
Estos botones extras que no aparecen después de la instalación, pero que aparecen al
instalarse algunas aplicaciones, normalmente no son peligrosos y, por ende, no hay que
hacer nada. Si nos fijamos, veremos claramente de donde provienen
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Archivos de programa\ICQLite\ICQLite.exe
Pero en caso de que querramos que estos botones desaparezcan, o que sospechemos de
la presencia de v.s.t, entonces los seleccionamos y le damos fix.
En merijn.com comentan que hasta ahora, sólo el hijacker CommonName añade sus
propias opciones en la pestaña de avanzadas. Esto se vería del siguiente modo:
O11 - Options group: [CommonName] CommonName
Si tenemos alguna duda, podemos buscar en Internet. El ejemplo mas claro de un v.s.t
es el plugin de OnFlow, que se detecta fácil por su extensión *.ofb; si lo encontramos,
hay que seleccionarlo y darle fix.
En estos casos, es preferible que antes de usar el HJT, tratemos de eliminar estos v.s.t
con el CWShredder, si después de reiniciar, le pasamos el HJT y nos muestra que la
clave todavía persiste, entonces lo seleccionamos y le damos fix.
Lo mas recomendado es seleccionarlo y darle fix, pero hay que tener cuidado, no todo
aquí es peligroso. A veces puede deberse a manipulaciones legítimas del Administrador
de Sistemas, manufactura de equipos de ciertas marcas, etc. En estos casos seguramente
reconoceremos la URL mostrada y no será necesario ningún procedimiento.
Pero también pudiera ser que algún v.s.t, como el CWS, introduzcan sus dominios
dentro de nuestros sitios de confianza, como se ve en el ejemplo:
O15 - Trusted Zone: *.coolwebsearch.com
Los típicos v.s.t serán claramente reconocibles si vemos nombres como porno, dialers,
toolbars indeseadas o palabras claves como casino, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) -
http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab
Algunos de los v.s.t que utilizan este método son Huntbar -RelatedLinks- (la del
ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. De encontrarlos, los
seleccionamos y le damos fix.
Sección O20
Esta sección corresponde a los archivos que se cargan a través del valor del registro
AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán
cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería
user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro
AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya
que estará cargando con múltiples procesos, muchos de los cuales no pueden ser
detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado
en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto
significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al
inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o
protegerse a sí misma antes que tengamos acceso al sistema.
Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede
verse en Regedit dando clic derecho sobre el valor, y seleccionando Modificar dato
binario.
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows
Existen muy pocos programas legítimos que usan esta llave del registro, pero debemos
proceder con cautela cuando borremos los archivos que están alistados aquí.
Investiguemos en Internet si los archivos son legítimos. También puedes usar las listas
para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O20 List
Cuando arreglemos este tipo de entradas, HijackThis no borrará los archivos listados. Es
recomendable que reiniciemos en modo a prueba de fallo y borremos los archivos.
Sección O21
Esta sección corresponde a los archivos que se cargan a través de la llave del registro
ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en
lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál
contiene la información acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu
computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se
va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo
tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier
intervención humana.
Un hijacker que usa este método puede reconocerse por las siguientes entradas:
Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
C:\WINDOWS\secure.html
HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes
bajo esta llave. Si vemos un listado para esto, entonces no es algo estándar y deberíamos
considerarlo como sospechoso. Será preciso que busquemos en Internet la lista de
cualquier DLL halladas aquí. También podemos usar las listas para ayudarnos a
verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O21 List
Cuando arreglemos este tipo de entradas, HijackThis no borrará los archivos listados. Es
recomendable que reiniciemos en modo a prueba de fallo y borremos los archivos.
Sección O22
Esta sección corresponde a los archivos que se cargan a través del valor del registro
SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando iniciamos Windows.
A la fecha sólo CWS.Smartfinder usa esta llave.
Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explor
er\SharedTaskScheduler
Tengamos cuidado cuando removamos los objetos encontrados en estas claves ya que
algunas son legítimas. Puedes verificar en Internet para intentar determinar si éstas son
válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar
las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O22 List
HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no
borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID.
Por lo tanto, deberemos reiniciar en modo a prueba de fallos y borrar manualmente este
archivo.
O23: Servicios
Todos los servicios de Windows NT/XP/2000/2003
Por lo general estos servicios son comunes y no debemos hacer nada con ellos, a menos
que encontremos claros indicios de un v.s.t.
Volvemos a recordar, este tutorial solo sirve para tener una clara idea de que es
cada cosa y para que sirve, que podemos hacer y que no, pero de ningún modo, el
staff de TecnicOnLine! nos hacemos responsables por el uso de hijackthis. Siempre
esta la opción de postear el log del HJT en la sección correspondiente del foro para
ser ayudados.