www.MegaLab.it

Si chiama Hijacking (si pronuncia "ai-gieching") ed è una delle pratiche di violazione della privacy più diffuse e fastidiose.

Un "hijacker" è un programma malevolo, spesso paragonato ad un virus, che si installa sul sistema veicolato da altri applicativi (mimetizzato da sponsor o da plug-in per il browser), oppure sfruttando alcune debolezze del sistema: una volta dentro, modifica la pagina iniziale del vostro navigatore e impedisce di ripristinare lo stato iniziale delle cose.

Molti Hijack sono innestati da siti pornografici, per cui la gravità della cosa è ancora maggiore: pensate alla figuraccia di aprire il browser web dell'ufficio davanti al vostro superiore e vedervi comparire le ultime prodezze di Giovannona CosciaLunga...

HijackThis è un programma molto interessante, che si occupa appunto di ripulire il sistema da questi programmi indesiderati (permettendovi di ripristinare www.MegaLab.it come vostra pagina iniziale).

Per prima cosa, scarichiamo il programma. Nella nostra sezione download trovate il link per la pagina ufficiale di TrendMicro, da cui prelevare il programma.

Una volta avviato il programma, vi appare questa schermata: si tratta di una sorta di pannello di controllo, in cui sono indicate le principali possibili opzioni.

Se mettete il flag su Show this frame again when I start Hijackthis, tale schermata vi verrà mostrata all'avvio del programma. Togliendo il flag, invece, si passa subito alla fase di scansione e controllo.

Cliccate su Scan e in pochi secondi comparirà il risultato della scansione.

Selezionate le caselle delle voci che avete analizzato, e che sono ritenute pericolose. Quindi premete il pulsante Fix checked per eliminarle.

Prima di procedere ad un'eventuale rimozione, premete Save log. Vi viene proposto di salvare un file denominato HijackThis.log, che potrete aprire con Blocco note o con un qualsiasi editor di testo. Questo file contiene il risultato della scansione che avete appena effettuato.

Avvertenza importante: quando usate il programma in questione, NON CANCELLATE subito ciò che viene individuato. Infatti, gran parte delle voci riportate dalla scansione sono "giuste" e non devono essere rimosse.

Se avete dei dubbi, postate sul nostro forum, nella sezione sicurezza, il contenuto del file HijackThis.log, segnalando il vostro problema. In questo modo, ci aiuterete a trovare la soluzione che fa al caso vostro (N.B. controllate prima attentamente che non vi siano già discussioni relative ad un problema analogo). Prima di cancellare "a casaccio", è altamente raccomandabile discutere i risultati su forum tematici.

Vi viene chiesta conferma circa l'eliminazione di ciò che avete selezionato in precedenza.

Nel caso venisse eliminata qualche voce di troppo, basta portarsi su Config – Backups. Qui troverete la lista di ciò che avete cancellato. Selezionate la voce da ripristinare e premete Restore per riportarla alla sua originaria collocazione.

Al contrario, se l'eliminazione di quella voce ha risolto il vostro problema, con Delete eliminate anche il file di backup.

Riportiamo tutte le voci che potrebbero uscire dalla scansione. Per ognuna di esse è indicato il relativo significato.

R - Registry, StartPage/SearchPage changes

R0 - Changed registry value

R1 - Created registry value

R2 - Created registry key

R3 - Created extra registry value where only one should be

F - IniFiles, autoloading entries

F0 - Changed inifile value

F1 - Created inifile value

F2 - Changed inifile value, mapped to Registry

F3 - Created inifile value, mapped to Registry

N - Netscape/Mozilla StartPage/SearchPage changes

N1 - Change in prefs.js of Netscape 4.x

N2 - Change in prefs.js of Netscape 6

N3 - Change in prefs.js of Netscape 7

N4 - Change in prefs.js of Mozilla

O - Other, several sections which represent:

O1 - Hijack of auto.search.msn.com with Hosts file

O2 - Enumeration of existing Microsoft Internet Explorer BHO's

O3 - Enumeration of existing Microsoft Internet Explorer toolbars

O4 - Enumeration of suspicious autoloading Registry entries

O5 - Blocking of loading Internet Options in Control Panel

O6 - Disabling of'Internet Options'Main tab with Policy

O7 - Disabling of Regedit with Policy

O8 - Extra Microsoft Internet Explorer context menu items

O9 - Extra'Tool'menuitems and buttons

O10 - Breaking of Internet access by New.Net or WebHancer

O11 - Extra options in Microsoft Internet Explorer'Advanced'settings tab

O12 - Microsoft Internet Explorer plugins for file extensions or MIME types

O13 - Hijack of default URL prefixes

O14 - Changing of IERESET.INF

O15 - Trusted Zone Autoadd

O16 - Download Program File item

O17 - Domain hijack

O18 - Enumeration of existing protocols and filters

O19 - User stylesheet hijack

O20 - AppInit_DLLs autorun Registry value

O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key

O22 - SharedTaskScheduler autorun Registry key

O23 - Enumeration of NT Services

O24 - Enumeration of ActiveX Desktop Components

Alcune delle voci più importanti sono R0, R1, R2, R3. In esse si celano tutti i reindirizzamenti a pagine e siti diversi da quelli che abbiamo impostato.

Tutte le righe che iniziano con 01,010,015 sono da verificare e, se necessario, da eliminare con HijackThis.

Nel 01 potrebbero esservi alcune impostazioni relative alla vostra rete LAN, tra cui il proxy con cui accedete ad Internet.

In O2 e 03 si annidano gli Spyware più resistenti, solitamente toolbar di vario genere.

04 mostra tutti i programmi (virus e dialer compresi) che vengono caricati in esecuzione automatica all'avvio del PC.