Máte v systému škodnou? Zkuste HijackThis! | Kapitola 3
Seznam kapitol
Povědomí uživatelů o bezpečnosti ve světě počítačů se neustále zvyšuje, bohužel počet počítačů roste ještě rychleji a obrovské množství systémů je nakaženo různými "breberkami". Dnes si ukážeme jeden způsob čištění vašich Windows od nechtěné nákazy, se kterou si běžné čistící programy nemusí poradit. Použijeme k tomu známou utilitu HijackThis.
O1 - hosts redirect
Soubor hosts je obyčejný textový soubor, který slouží jako jakési jednoduché DNS proxy v každém systému. Typicky, kromě nějakého počátečního komentáře, obsahuje pouze jednu řádku
127.0.0.1 localhost
což v praxi znamená, že pokud napíšete v browseru http://localhost, automaticky se to přeloží na 127.0.0.1, a vůbec se nemusí dotazovat vašeho DNS serveru. Hosts může využívat mnoho antispywarového softwaru pro jakousi imunizaci. Stejně tak může hosts využívat i spyware, kdy v dobré víře jdete na nějaký web považovaný za bezpečný, a pomocí hosts je vám podvržena falešná IP adresa.
Obvykle HijackThis žádný O1 nenajde, pokud ano, prověřte jej. Pokud obsahuje nějakou podivnou IP adresu a za ní naopak známé URL, může se jednat o pokus o podvrh.
O2 - browser helper objects, O3 - toolbars
HijackThis obvykle vypíše několik O2 či O3 záznamů, jedná se totiž o rozšíření Internet Exploreru, které je často využíváno mnoha programy. Typická instalace systému obsahuje BHO pro Adobe Reader, Google Toolbar, nějaké antiviry a další neškodné programy. Rozumným postupem proto je zkontrolovat každý řádek, a pokud obsahuje nějaký vám neznámý název programu nebo adresu, je třeba ji prověřit, například pomocí tohoto seznamu - X znamená škodlivý, L znamená neškodný.
O4 - programy po spuštění
Možná nejběžnější místo, kam se malware rád zahnízdí. O4 vypisuje všechny možné větve registru, sloužící ke spouštění programů při startu Windows, a vypisuje také obsah složky Po spuštění. Zde je opět nutné zkontrolovat řádek po řádku, a neznámé aplikace prověřit - například pomocí tohoto seznamu - X znamená škodlivý, L znamená neškodný.
O5, O6, O7 - nestandardní nastavení Internet Exploreru
O5 znamená skrytou ikonu Možnosti Internetu v Ovládacích panelech, O6 zákaz hlavního okna v Možnostech Internetu, O7 zákaz přístupu k registru přes regedit.exe. Pokud správce počítače (nebo vy) tyto možnosti nastavil, jedná se jen o informaci. Pokud si toto nepřejete, fixnutí uvede zmíněné položky do standardního nastavení.
O8 - extra položky v kontextovém menu IE, O9 - extra tlačítka v IE
Podobná situace, jako u O2, O3 nebo O4. Pokud jsou vypsané O8 či O9 vám známé, je to v pořádku. Pokud narazíte na neznámou položku, je třeba ji prověřit. Obvykle zde naleznete něco příbuzné s MS Office. Vhodným seznamem pro kontrolu je tento.
O10 - Winsock
Winsock je síťovou záležitostí a oblíbeným cílem některého komplexnějšího spywaru, například New.net. Čistící programy (antivir, antispyware) jsou obvykle schopny tento spyware odstranit, ale už neuvedou Winsock do původního stavu. HijackThis umí na tento problém upozornit, bohužel už je na vás si s ním poradit (google, zkušenější uživatel). Pro kontrolu použijte například tento seznam.
O11 - pokročilé možnosti Internet Exploreru
Jediný známý škůdce využívající tuto možnost, je CommonName, takže pokud takovéto O11 HijackThis vypíše, fixněte.
O12 - pluginy v Internet Exploreru
O12 obvykle obsahuje bezpečné pluginy, jako například Adobe Reader plugin. Jediný známý škůdce v této oblasti je OnFlow plugin s příponou .OFB, takže jej případně fixněte.
O13 - IE default prefix hijack
Pokud zadáte v IE nějakou URL adresu bez počátečního udání http protokolu, za normálních okolností IE tuto situaci rozpozná a správně http doplní. Některý malware má ovšem ve zvyku toto změnit, tak aby se při zadání neúplné adresy vše přesměrovalo právě na nechtěné stránky. O13 je obvykle bezpečné fixnout, snad jen pokud jste nějakou změnu neudělali sami, což s největší pravděpodobností ne.
O14 - Reset web settings hijack
Podobně jako v případě O13, také výpis O14 znamená nestandardní stav. V tomto případě O14 znamená vašeho poskytovatele internetu - v našich končinách je toto nastavení snad úplně na vymření, pamatuji se že kdysi v dobách vytáčeného internetu "zdarma" měli poskytovatelé v oblibě toto nastavit. Jedná se pouze o informaci, nic nebezpečného, ovšem fixnutím nezkazíte také nic.
O15 - Důvěryhodné adresy v Internet Exploreru
Standardní nastavení IE neobsahuje žádnou důvěryhodnou adresu, ale při mírně striktnějším nastavení je vhodné vložit do důvěryhodných například servery Microsoftu kvůli Windows Update. O15 všechny tyto adresy vypíše, pokud nějakou z nich neznáte a jste si jisti, že jste ji do důvěryhodných neuložili, fixněte. Toto nastavení má ve zvyku měnit především AOL (bezpečné) a CoolWebSearch (nebezpečný agresivní malware).
O16 - Downloaded Program Files (ActiveX komponenty IE)
HijackThis vypisuje pouze nestandardní ActiveX komponenty, které byly do IE přidány po instalaci systému. Obvykle se zde nachází ActiveX WindowsUpdate. Pokud nějakou z komponent nepoznáváte, je vhodné ji prověřit, ActiveX již dnes není primárním cílem malware, ale stále na něj můžete natrefit, opět použijte například tento seznam.
O17 - Lop.com domain hijacks
O17 obvykle vypisuje DNS server, přidělený vám vaším ISP. Některý spyware má však ve zvyku nahradit jej svým vlastním DNS, a efektivně tak přesměrovat adresy na jiné IP, než jste zvyklí. Je vhodné zkontrolovat, zda vypsané DNS je opravdu vaše, a pokud si nejste jisti, použijte google.
O18 - Extra protocols and protocol hijackers
Situace podobná jako v předchozích případech. Pokud nepoznáváte některý z vypsaných záznamů, je vhodné jej prověřit. K tomu pomůže například tento seznam - L znamená bezpečný, X znamená nebezpečný a určený k fixnutí, O nebo ? znamená diskutabilní a je nutné ještě hledat další informace.
O19 - User style sheet hijack
Pokud narazíte na O19, s největší pravděpodobností jste se stali obětí CoolWebSearch. Nejlepší možností je nefixovat jej v HijackThis, ale použít CWShredder.
O20 - AppInit_DLLs registry value autorun
Poněkud méně známý způsob, jak automaticky spustit program (v tomto případě nahrát DLL knihovnu) při startu systému. Dnes je tato cesta využívána velmi zřídka legitimním softwarem, naopak agresivní malware se sem nacpe rád. Takže pokud objevíte vám neznámou DLL knihovnu, prověřte ji, například pomocí tohoto seznamu - L znamená bezpečný, X nebezpečný a určený k fixnutí, O nebo ? znamená diskutabilní a je nutné ještě hledat další informace. Pozor, pokud si nejste jisti, postupujte s nejvyšší opatrností, mazat bezpečný záznam by se vám tady mohlo vymstít.
O21 - SSODL autorun
Podobně jako v případě O20, jedná se o zřídka využívaný způsob automatického spuštění při startu. A také občas využívaný malwarem. Opět je nutno postupovat velmi opatrně, neznámé kousky prověřit, například opět pomocí tohoto seznamu. A stejně tak je třeba při likvidaci dát pozor na legitimní komponenty.
O22 - SharedTaskScheduler autorun
Třetí zřídka používaný způsob spouštění aplikací při startu, opět postupujte opatrně, a využijte tento seznam.
O23 - Services
Služby jsou v podstatě také programy, které se spouštějí při startu systému. Existuje pro ně ovšem jednotné ovládací rozhraní. Některý malware má ve zvyku se maskovat jako legitimní služba, a je proto záhodno služby pozorně prozkoumat. Seznam běžných služeb najdete v našem starším článku (pro Windows Vista), případně v ještě starším článku (pro Windows XP), a nebo v rozsáhlé databázi služeb s informacemi o škodlivosti a postupem odstranění.
Pokud pomocí HijackThis fixnete nějakou službu, dojde k jejímu zastavení a zakázání, ovšem samotný kód služby bude dál existovat na disku, a je třeba jej smazat ručně.
O24 - ActiveX desktop components
Už od dob Windows 98 a zavedení Active Desktopu je možné umístit aktivní obsah na plochu. Tento způsob zkrášlení plochy se nikdy moc neprosadil, ale představuje možné bezpečnostní riziko, typicky jej zneužívá SmitFraud malware, různé podvodné rádobyčističe (AVGold, Raze AntiSpyware, AlfaCleaner, TopAntispyware) a další ksindl. Za normálních okolností žádné O24 nenajdete, takže pokud nějaké vysloveně nechcete, je bezpečné fixnout.
A co dál?
HijackThis je velmi mocná utilita, ovšem je nutné se s ní naučit zacházet. Rozhodně nenabízí takový komfort jako automatické skenery typu Spybot, ale to ani principielně není možné. Čištění systému pomocí HijackThis je o něco složitější a zdlouhavější, ale je možné tak odhalit jinak neviditelnou infekci.
Tento článek bych rád použil jako pomůcku pro uživatele našeho fóra, kteří si nevědí rady s rozluštěním HijackThis logu - doufám, že jsem vám pomohl alespoň trochu.
HijackThis download - web TrendMicro, alternativní zdroj WhatTheTech.com
Zdroje informací: Aumha.org, Bleepingcomputer.com