¿Cuantas veces has oido esto?
Mi maquina está muy lenta, me aparecen popups a cada rato, me cambiaron mi página de inicio, mi navegador manda errores, tengo un programa espía (spyware), doy click en una pagina y me manda a otra, hay botones en mi navegador que no estaban antes, etc,etc, etc.
Son síntomas comunes de la multitud de amenazas que hay en internet y son las causas de estos y muchos otros problemas en las computadoras que usan sistemas operativos Windows.
Muchos creen que son causas de virus, pero al no serlo, el antivirus ni siquiera se inmuta, aunque todo parezca ir mal.
Los productos de seguridad modernos incluyen antispywares, firewalls, protectores de seguridad, etc. Pero, porque no funcionan como debieran?
La razón es que la variedad de ataques son tantos, tan ingeniosos, y tan variables que prevenir la introduccion es una tarea titanica, debido también en gran medida a que el usuario no los sabe operar.
El otro contra de estos productos de seguridad es que a menos que tengas una estación de trabajo de ultima generación, tu equipo se pondra lentísimo con tanto software trabajando en el fondo.
Hijackthis es un programa que no hace sino permitirnos ver todos los lugares donde se instalan y ejecutan todas estas amenazas, permitiendonos hacer una limpieza manual, que aunque no es definitiva, nos permite recuperar muchas de las funciones que perdimos
El presente post, tiene como objetivo publicar un manual que he generado para usar el programa hijackthis, así como para orientar en la toma de decisiones de que y como usarlo para limpiar el sistema y no perderlo en el intento.
Se recomienda tener cierta experiencia con el registro, con el uso de archivos y rutas, con nociones de protocolos, sistema de archivos, etc.
————————————————————-
Manual de Hijackthis 1.99.1
¿Que es el HijackThis?
Es una herramienta gratuita, muy popular y tan pequeña como útil, creada por Merijn Bellekom, para remover spyware en los sistemas Microsoft Windows (Fundamentalemte Windows XP). El programa está actualmente en la versión 2.0 Beta.
El sitio oficial para su descarga es:
http://www.merijn.org/programs.php#hijackthis
La ultima version estable es la 1.99.1, por tal motivo, utilizaré la misma para ilustrar este manual, de cualquier manera como menciono mas abajo, mas que la version del programa, lo importante son los criterios para operarlo, los cuales no cambian de versión a versión
Las más recientes versiones de HijackThis incluyen herramientas adicionales como un administrador de tareas, un editor del archivo hosts, y escáner de alternate data stream.
Esta pequeña herramienta (Para usuarios avanzados) nos permite detectar y eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como:
- Toolbars
- Paginas de Inicio modificadas
- Páginas de búsqueda
- Redirecciones de sitios Web vía archivo hosts
- Aligerar la carga de nuestro sistema al desactivar programas de inicio al arrancar nuestro sistema
Advertencia y Recomendación:
Hijackthis como tal es un programa muy sencillo de utilizar, sin embargo el el balance entre el peligro y la efectividad que conyevan en operarlo correctamente es delicado.
Si se opera correctamente puedes limpiar tu sistema de la mayoría de amenazas de spyware (En ocasiones es necesario combinarlo con el uso de otras aplicaciones como un antivirus o removedores de protocolos o winsocks)
Sin embargo, si no se opera correctamente puede hacer que tus aplicaciones dejen de funcionar parcial o totalmente, que el internet deje de operar y que el sistema se vuelva inestable (pueden ser algunos de los sintomas)
Este tutorial trata de enseñarte los criterios necesarios para operar correctamente el programa, de cualquier manera si aún tienes dudas no esta de más verificar con un experto o en foros si las decisiones que tomes con el programa son adecuadas
Hay que aclarar que no todo los que nos muestra en el log es spyware y hay que tener mucho cuidado con lo que borramos de nuestro registro.
Iniciando el HijackThis
Una vez que lo bajemos desde la página de Hijackthis en Merijin le damos doble click y se nos presentara la pantalla principal.
La primera opción es generar un log (Archivo de registro) para analizarlo
La opción “Do a system scan and save a logfile “ permite generar un log de tu sistema y almacenarlo como un archivo de texto. Esto te permitirá enviarlo por el medio que elijas a algun foro para que te den ayuda.
La segunda opción “Do a system scan only” Hace una revision del sistema y nos la despliega para que podamos hacer las modificaciones
La tercera opción “View the list of backups” muestra la lista de modificaciones hechas en sesiones anteriores que nos permite revertir los cambios que hicimos, siempre y cuando esté activada la opción de guardar respaldos antes de corregir entradas
La cuarta opción “Open the Misc Tools section” contiene una serie de herramientas como:
- Administrador de procesos
- Editor de archivo host
- Desinstalador de servicios
- Desinstalador de programas
La quinta opción “Open online Hijackthis Quickstart” abre una página web de ayuda, desafortunadamente está en inglés.
La sexta opción “None of the above, just start the program” lo mismo que la segunda, solo que es mas elegante para decir que somo Dios y nos la jugamos directamente a editar el sistema. Esta es la que más usaremos.
Si damos click en el boton “Scan” nos analizará nuestro sistema y nos dará la ventana de resultados, el chiste de operar Hijackthis es saber reconocer que significa cada cosa, si es inocua, dañina u opcional al sistema. De eso fundamentalmente se trata este manual.
Analizando los resultados de hijackthis.
Cada línea comienza con una letra o un numero, con las siguientes referencias:
R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE para abreviar).
F0, F1, F2, F3: Programas cargados a partir de archivos INI (system.ini, win.ini).
N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
O1: Redirecciones de dominios mediante modificación del archivo HOSTS.
O2: BHO (Browser Helper Object); Son plugins para aumentar las funcionalidades del Internet Explorer, pero también pueden ser spywares, toolbars nocivas, etc..
O3: Barras de herramientas o Toolbars para IE.
O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, desde llaves en el registro especiales o accesos directos en la carpeta de Inicio del menu todos los programas.
O5: Opciones de IE no visibles desde Panel de Control.
O6: Acceso restringido -por el Administrador- a las Opciones de IE.
O7: Acceso restringido -por el Administrador- al editor del registro (Regedit).
O8: Opciones de menú o Items extra encontrados en el menú contextual de IE.
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto).
O10: Winsock hijackers. (Protocolos o filtros que afectan las comunicaciones)
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
O12: Plugins para IE.
O13: Hijack del prefijo por defecto en IE.
O14: Hijack de la configuración por defecto de IE.
O15: Sitios indeseados en la zona segura de IE.
O16: Objetos ActiveX
O17: Hijack de dominio / Lop.com
O18: Protocolos extra / Hijack de protocolos
O19: Hijack de la hoja de estilo del usuario.
O20: Valores de Registro auto ejecutables AppInit_DLLs
O21: Llaves de Registro auto ejecutables ShellServiceObjectDelayLoad
O22: Llaves de Registro auto ejecutables SharedTaskScheduler
O23: Servicios del sistema
Como remover los elementos descubiertos en el scan
Los elementos se pueden seleccionar uno por uno y removerlos dando click en Fix checked, pero lo mas recomendable es revisar todos los resultados, seleccionar aquellos que vayamos a remover y dar click en “Fix checked” esto es debido a que a veces hay programas espia que se se manifiestan en multiples resultados del log, si borramos solo uno, en unos segundos pueden haberse regenerado y dejar el equipo como estaba, incluso, ES RECOMENDABLE HACER EL ANALISIS Y LA LIMPIEZA EN MODO A PRUEBA DE FALLOS, asi evitamos al maximo que los programas espías se activen o afecten la limpioza.
Para entrar a modo a prueba de fallos ya saben, es atraves de la tecla F8 al prender el equipo.
Descripción de los resultados
Grupo R0, R1, R2, R3:
URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).
Si las URLs que comienzan con R0, R1 y R2 fueron configuradas o puestas por nosotros mismos no hay problema, y la dejamos como están, pero si no las reconocemos o tienen nombres muy extensos y sospechosos, las seleccionamos para removerlas
Ejemplo Válido:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com/
Ejemplo de Spyware, marcar y ‘Fix Checked’:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http://, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a Url Search Hook.
Ejemplos Válidos:
R3 - Default URLSearchHook is missing
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
El ejemplo anterior es de las librerías que instala el yahoo messenger, aunque no es dañino, en lo personal creo que cargan al sistema de mas al arrancar, con el pretexto de acelarar la carga de sus programas. Yo lo quitaría, ya que no afecta el funcionamiento del mensajero
Ejemplo Spyware, marcar y ‘Fix Checked’
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Explicación: Cosas raras que afectan al navegador
Grupo F0, F1, F2, F3
Programas cargados a partir de archivos *.ini (win.ini, system.ini, etc..).
F0: Según la recomendación de Merijn.org (creadores del HijackThis) cualquier código que comience con F0 hay que marcarla y borrarla
F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su información viene del win.ini en “Run= o Load=”. Es conveniente buscar información del programa especifico antes de marcar y borrar - ‘Fix Checked’”
F2 y F3 Son equivalente a los anteriores pero en Windows de núcleo NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional.
Por ejemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Esto se ve en la información del valor userinit, dando click dos veces sobre él desde Regedit; estaría de la siguiente manera, separado simplemente por una coma:
Userinit = [**]\system32\userinit.exe [**]\morralla.exe
Si en la llave Win NT están los valore por defecto: userinit,nddeagnt.exe, es normal (Windows NT solamente). Cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano. Buscar informacion del ejecutable en internet para poder decidir si es un programa legitimo o no
Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el archivo prefs.js, que se localiza en el directorio del navegador.
Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si no marcar y eliminarlas
O1: Redireccionamientos por modificación del archivo HOSTS
El archivo HOSTS lo podemos encontrar en diversas ubicaciones según el Windows empleado.
En Windows 9x/Me, se localiza en C:\WINDOWS\
En Windows NT/2000/XP/2003 se localiza en C:\SYSTEM32\DRIVERS\ETC\
Mediante el archivo HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el archivo HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.windows.com.
Al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el archivo HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable.
Sin embargo, puede ser empleado con fines maliciosos por los spywares que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (IP falsa) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP falsa. Esto redireccionamiento suele ser frecuente y usado por hackers yphishers.
Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y borrarla.
Si hay muchas IPs y dominios modificados, recomiendo usar la herramienta hostXpert para poder regenerar el archivo host original, incluso para poder ponerle atributos de solo lectura para evitar modificaciones futuras
O2: BHO (Browser Helper Object)
Los BHO, son generalmente plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones spías o hijacks.
Es preciso usar el criterio para ver elemento por elemento, y así determinar si borrarlo o no
En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}).
Las señaladas en Status como “X” son catalogadas de spyware, las “L” como normales o limpias.
Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Este CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) si se ubica en el buscador del listado, lo mostrará catalogado como “L”, es decir, normal, ya que está originado por Adobe Acrobat Reader, y ayuda a ver documentos PDF en el navegador
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
Este CLSID es del Windows Live messenger (El si es spyware o no, no se ha demostrado, jaja)
Si por el contrario el resultado de la búsqueda lo muestra como “X”, es que se trata de spyware y conviene aplicarle el ‘Fix Checked’. Es preciso que en ese momento no este abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si después de aplicar el ‘Fix Checked’ vuelve a salir en el listado, será necesario reiniciar en modo a prueba de fallos para erradicarlo.
Ejemplo Spyware: Borrar
O2 - BHO: (no name) - {FECA4302-94B5-11D9-8E0D-000E86ADF28B} - C:\WINDOWS\SYSTEM\MLM.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3: Toolbars para IE
Las barras de herramientas o Toolbars son grupos de botones situados generalmente bajo la barra de herramientas del navegador. Pueden pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.
Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar
Ejemplo normal:
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 8.0 Professional\Acrobat\AcroIEFavClient.dll
En el ejemplo, las toolbars está originadas por el Norton Internet Security de Symantec y el Adobe acrobat.
En caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los elementos O2 para tratar de salir de dudas respecto a su identidad. El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como “X” (spyware) o “L” (limpio). En caso de ser spyware, conviene marcar el ítem y borrar con el ‘Fix Checked’.
O4: Aplicaciones de carga automática en inicio de Windows por Registro
La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en la carpeta Inicio o Startup del menú todos los programas
Claves del registro implicadas:
HKLM\Software\Microsoft\Windows\CurrentVersion
Llaves:
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce
Llaves:
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe
Los directorios del grupo Inicio pueden tener estas ubicaciones:
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio …reflejado en el log de HijackThis como Global Startup; son programas que se cargan para el perfil de todos los usuarios.
Ejemplo: O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
C:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio …reflejado en el log de Hijackthis como Startup: programas que se cargan sólo para el perfil de ese USUARIO.
Ejemplos:
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
Sospechoso no?
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
Este es de alguna versión vieja de office, si lo quitas no pasa nada, pero te aligera el sistema sin afectar al office
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
En el anterior: no es algo reconocible, si ademas se ejecuta desde carpetas temporales se vuelve un indeseable, borrarlo.
Si se encuentra un elemento indeseable y se le aplica el ‘Fix Checked’, no será exitoso mientras el proceso esté activo en memoria, ay que puede regenerar la entrada.
En esos casos, primero hay que abrir el Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HijackThis, aqui nuevamente sirve estar a modo a prueba de fallos
O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de Internet Explorer son accesibles desde Panel de Control. Pero tambien es comun que no esten disponibles o no se dejen cambiar.
O5 - control.ini: inetcpl.cpl=no
Este registro indica restricciones a las configuraciones del navegador
Pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación spyware que de esta manera trate de dificultar que cambiemos las Opciones del IE. Si se trata de esto último, es conveniente aplicar ‘Fix Checked’.
O6: Acceso restringido -por el Administrador- a las Opciones de IE
Si el acceso está restringido por el Administrador, aparecerá un ítem como el siguiente:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicar ‘Fix Checked’.
O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (frecuente en políticas de seguridad corporativas), se refleja en un registro como el siguiente.:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicar ‘Fix Checked’.
O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que se obtiene al pulsar el botón derecho sobre la web que estmos viendo. Nos muestra diferentes opciones y pueden deberse a aplicaciones normales, pero también a spyware. Las diferentes opciones en ese menú se albergan en la siguiente cadena del registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal:
O8 - Extra context menu item: Exportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
La entrada anterior manda el documento a Excel para editarlo
O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\PROGRAMAS\PROCESADORES\Acrobat 8.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECap ture.html
La entrada anterior es de Adobe Acrobat
Si no reconocemos la aplicación responsable del ítem extra en el menú contextual y sospechas que sea un spyware, hay que aplicar ‘Fix Checked’.
Incluso si hay demasiadas entradas que no usemos, podemos quitarlas para aligerar la carga de trabajo al navegador. No afecta el funcionamiento del programa en cuestión.
O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto)
Si hay botones extra en la barra de herramientas principal de IE o bien elementos extra en el menú Herramientas de IE (que no sean los incluidos en la instalación por defecto) y quieres eliminarlos por sospechar que provengan de spyware, hay que mirar en este elemento O9 del log de Hijackthis, que obtiene los datos de la siguiente cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones
Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
En los normales no es preciso hacer nada, pero ante casos indeseables que se quiera hacerlos desaparecer, el ‘Fix Checked’ debería poder con ellos sin problemas. Si son botones que no usas, nuevamente puedes desactivarlos sin afectar al navegador o al programa que los puso
O10: Winsock hijackers
Los elementos de esta categoría son de manipulación delicada, ya que afectan las capacidades de conexión a Internet. Desde la propia Merijn.org recomiendan, en caso de necesitar resolver problemas en estos elementos es mejor usar el LSPFix.exe.
No hay problema si las referencias a algún módulo del antivirus. Puede ser normal en aquellos que actúan a nivel del Winsock (Protocolos de Windows).
Ejemplos de cosas indebidas
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la siguiente cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (Spyware) sería como siguiente:
O11 - Options group: [CommonName] CommonName
Si se encuentra ese caso aplicarle ‘Fix Checked’ . Si es diferente es recomendable buscar mas informacion para estar seguros.
O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.
Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar más información.
O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en ela barra de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.). Por defecto IE tratará de emplear http://, pero es posible modificar este valor en el registro mediante la siguiente cadena:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Existen programas espía (spywares) que lo llevan a cabo, obligando al usuario a llegar hacia donde no desea. Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por “http://ehttp.cc/?”, de manera que cuando el usuario introduce “www.google.com”, automáticamente es derivado a “http://ehttp.cc/?www.google.com”, que es un site perteneciente a CWS.
Ejemplo nocivo de CWS:
O13 - WWW. Prefix: http://ehttp.cc/?
En estos casos, antes de emplear Hijackthis, conviene utilizar herramientas específicas contra CWS como CWShredder. Pasar tras reiniciar el scan de Hijackthis y comprobar si ha sido suficiente con eso, aplicando finalmente el ‘Fix Checked’ en caso necesario.
CWS tiene muchas variantes y es un listado en continua expansión.
Otros ejemplos Spyware son:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O14: Hijack de la configuración por defecto de IE
Una de lasopciones del Internet Explorer es resetear los valores presentes y volver a la configuración por defecto. Los valores de esta última, se guardan en el archivo iereset.inf, ubicado en c:\windows\\inf.
Si un hijacker modifica la información de dicho archivo, al resetear a la configuración por defecto, la tendríamos presente de nuevo. En estos casos es conveniente aplicar ‘Fix Checked’.
Ejemplo spyware:
O14 - IERESET.INF: START_PAGE_URL=http://www.xxxfiles.com
Generalmente se reconocerán las URLS si estas son debidas a manipulaciones legítimas del Administrador de Sistemas, políticas de la empresa, etc.
O15: Sitios indeseados en la zona segura de Internet Explorer
En Internet Explorer la seguridad se establece por medio de zonas o y según éstas, los privilegios en términos de seguridad es mayor o menor. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la siguiente cadena del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Si por ejemplo hemos añadido tenoch.scimexico.com a los sitios de confianza, nos aparecería reflejado de esta manera en el elemento correspondiente de Hijackthis:
O15 - Trusted Zone:tenoch.scimexico.com
O15 - Trusted Zone: www.banamex.com
De igual manera puede aparecer, por ejemplo, el dominio de la empresa en que trabajamos, el de algún banco en el que tengamos actividad vía internet, etc.
Puede darse el caso de que un spyware como CWS, introduzcan silenciosamente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la siguiente manera:
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, podemos utilizar la herramienta TZ-Kill.inf para eliminarlos con facilidad
O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files. La ubicación de almacenamiento por defaulr es c:\windows\Downloaded Program Files
Podemos encontrar elementos normales como el del siguiente ejemplo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
Los casos típicos de spyware, generalmente serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, Toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos.
Nuevamente si hay cosas que ya no utilicemos podemos quitarlas para aligerar la carga de trabajo de nuestra máquina
O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio. Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo podrán redireccionarnos a donde quieran, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).
Ejemplos:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{7609841B-C3EF-4621-8D0C-3A91C42A0700}: NameServer = 85.255.116.103,85.255.112.197
Hay que averigual primero si las direcciones IP de los DNS descritos pertenecen efectivamente a servidores DNS conocidos de Proveedores de Servicio Reales (ISP). Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.
Los DNS mas comunes en méxico son los siguientes:
Telmex/Prodigy
200.33.146.201
200.33.146.193
UNAM:
132.248.10.2
132.248.204.1
Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia spywares, les aplicaremos ‘Fix Checked’.
O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos “extra” o “no estándar”) que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.
Hijackthis primero busca protocolos “no estándar” en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID
Ejemplo de registro normal:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
Skype usa su propio protocolo de comunicacion y lo registra en el sistema
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
El anterior es del Groove, que viene en Office
Ejemplo spyware:
O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de Hijackthis, y conicida
con un navegador lento con muchas ventanas emergentes (pop-ups), podría ser conveniente aplicarle
‘Fix Checked’. Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear el CWShredder
Como verán muchas de las amenazas aprovechan caractaristicas del sistema en usuarios con privilegios administrativos, además de que el Internet Esplorer es el cliente favorito de los hijackers.
Como usuario, deberías reconsiderar usar el equipo con cuentas de privilegios restringidos (O usa Linux), y migrar a un navegador más seguro (p.e. Firefox)
NOTA:
Mi aportación con este manual no quiere decir que me envíes tus archivos de log para que te los revise, desafortunadamente tengo mucho trabajo diario y darme tiempo para publicar un blog ya es bastante pesado. Si quieres una opinion sobre tu Log, para ello hay multitud de foros, si consideras que falta informacion o deseas hacer sugerencias o quejas tambien, porque no, hazmelo saber.
Fuentes