Leyendo un Log de HijackThis
by vVegeta
INDICE1.- INTRODUCCION
2.- HijackThis Descripcion Profundizada
2.1.- Internet Explorer
2.2.- IniFiles
2.3.- Netscape y Mozilla
2.4.- Otros
2.5.- Comandos
3.- Riesgos
4.- Conclusion
1.- INTRODUCCION
En este Tutorial solo busco que los usuarios, se mantengan un poco más informados de que es lo que pasa dentro de su ordenador, computadora, o como quieran decirle.
HijackThis es una herramienta encargada de analizar los plugins, add-ons, entre otras particularidad
es que pueden ser dañinas para nuestro sistema, aunque hay que tener en cuenta que puede -como cualquier otro programa- lanzar falsos positivos, por ello cuenta con una opcion de realizar un back up.
Antes de comenzar deseo con ansias que primero que todo sepan bien lo que es un Virus, Trojan, Spyware, Backdoor entre otros, para ello insisto que lean
Para ver este enlace Registrate o Inicia SesionTODO SOBRE AMENAZAS Y SEGURIDAD EN LA RED --> wanm28
Para ver este enlace Registrate o Inicia SesionManual de seguridad - Como tener un PC sano y salvo--> putus
Para ver este enlace Registrate o Inicia SesionConsejos Básicos--> vVegeta
Para ver este enlace Registrate o Inicia SesionDescarga
2.- HijackThis Descripcion Profundizada
Con ejemplos incluidos
PRINCIPAL
Creo que los Items estan bien explicados, ni siquiera hace falta tener un poco de Inglés para comprenderlos.
.. aún así, les haré mención:
Do a system scan and save a logfile
Escane el sistema y graba un Log en un documento *.txt
Do a system scan only
Solo Escanea el sistema y no guarda un log.
view the list of backups
Ve los Backups que se tienen guardados
Open the Misc Tools section
En esta sección te muesta las herramientas extras que trae HijackThis, deben verlas...
Open online HijackThis QuickStart
Una pequeña Guía rápida en Inglés.
None of the above, just start the program
Sale del programa (EXIT).
Antes del Analisis
Esta imagen es la que aparece antes que de comienzo al respectivo analisis.
El menu
Veamos lo que realmente es de interés para saber si nuestro sistema esta comprometido bajo algun malware
2.1.- Internet Explorer --> Grupo RR0, R1, R2, R3 = Especificament
e muestras las URL de búsqueda sobre el Internet Explorer.
Tener en cuenta que si no llegamos a conocer estas URL´s, deberiamos darle Fix Checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://foro.portalhacker.net/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =
res://C:\WINDOWS\TEMP\se.dll/sp.html
En estos dos ejemplos utilizemos un poco la lógica...
Con respecto a R2, al parecer ya no se utiliza, desafortunadam
ente no tengo la menor idea del porque.
R3 Hace referencia total a URLSearchHook, en el caso de que tengamos una direccion tal como
foro.portalhac ker.net, como nuestro index, sin que salga los protocolos http o ftp segun corresponda. Un ejemplo comcreto de R3 y de buena forma es el mensaje:
R3 - Default URLSearchHook is missing
De lo contrario saldria algo similar a esto:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
2.2.- IniFiles --> Grupo FF0, F1, F2, F3 = Aqui se muestran todos los programas cargados desde los ficheros *ini (win.ini, system.ini, entre otros)
F0, segun los creadores de HijackThis (Marijin.org), lo recomendable es que cualquier código que este con F0, sea marcado inmediatamente y
Fix CheckedF1, este mismo corresponde a todos los programas codeados bajo Win3x y 9x, se deberia buscar informacion del programa que este bajo esta linea para saber si es malicioso o no lo es.
F2 y F3, bajo los nucleos de WinNT
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=[**]\system32\userinit.exe,[**]\morralla.exe
Vean la diferencia.
2.3.- Netscape y Mozilla --> Grupo NEs lo mismo que el Grupo R (Internet Explorer), solo con la diferencia que esta vez utiliza Netscape y Mozilla.
N0, N1, N2 =Son los motores de búsqueda para los casos de Netscape 4x, 6, 7, segun correponda (N0=4x; N1=6; N2=7)
N3 = Corresponda a Mozilla Firefox
2.4.- Otros --> Grupo OO1= En esta ocasión tomaré prestado el Tutorial de WaesWaes
Para ver este enlace Registrate o Inicia SesionPharming (explotando el fichero "hosts" y mas...!!!)
(espero no te moleste), deberan leer y ver este pequeño tutorial para entender cual es su funcionalidad, contra que o contra quien nos defiende.
O2 = Browser Helper Object (BHO), puede deberse a dos cosas:
- Puede ser un plugins que se ha instalado apropósito para que nuestro navegador sea más rápido y otra cosilla por ahí
- Puede ser un Spyware que tenga nuestro Browser
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de
programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Para ver este enlace Registrate o Inicia SesionCLSID List
O3 = Estas enrtadas son más que todo toolbars para el Internet Explorer, esta entrada podemos incluso modificarla desde
HKLM\Software\Microsoft\Internet Explorer\Toolbar, veemos todas las toolbars que tenemos instalas en el Browser IE, si son correctas las dejamos si no lo son,
Fix checked, ya que pueden ser BHO maliciosas o falsas.
O4 = Esta entrada nos deja cuales son los programas y todo lo que carga inmediatamente conjunto con Windows, en este caso debemos fijarnos bien en el Log, ya que en cualquiera de estas entradas es en donde se cargar los archivos de Inicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\...\Windows\CurrentVersion\RunServicesOnce
HKLM\...\Windows\CurrentVersion\RunServices
HKCU\...\Windows\CurrentVersion\RunServices
HKLM\...\CurrentVersion\Run
HKCU\...\CurrentVersion\Run
HKLM\...\CurrentVersion\RunOnce
HKCU\...\CurrentVersion\RunOnce
HKLM\...\CurrentVersion\RunOnceEx
HKLM\...\CurrentVersion\Policies\Explorer\Run
HKCU\...\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Debemos tener en cuenta que tambien pueden haber lineas que hagan mencion a Global Startup, esto significa que son los programas que se inician en todos los usuarios del equipo, de lo contrario, si hay programas que solamente se inician en x usuario se llamara Startup.
Otro punto de tener en cuenta es que con dar
Fix Checked, no elimina los programas, deberemos eliminarlos manualmente.
O5 = En esta línea vemos las Opciones de Internet Explorer que no visibles desde el Panel de Control, para ver si esto es verdad deberia aparecer un código como este:
O5 - control.ini: inetcpl.cpl=no
De lo contrario es que podemos ver las Opciones de nuestro IE, desde el Panel de Control (Inicio --> Ejecutar --> control)
Aquí ustedes verán que es lo mejor, si son los Administradore
s del Equipo es recomendable que se deje tal cual, de lo contrario puede ser que el mismo Admin haya hecho esta modificación, si no es así puede ser producto de un malware.
O6 = Aquí vemos si estamos restringidos por el Administrador a las Opciones de nuestro Browser, en este caso IE.
Basta con ver en la descripcion del Registro si sale
Restrictions, es porque estamos restringidos de lo contrario no lo estamos.
O7 = El acceso totalmente restringido a nuestro preciado Registro de Windows (Regedit):
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
El Nº 1 es aquel que nos esta restringiendo, aplicamos
Fix Checked, siempre y cuando seamos nosotros los administradore
s del equipo.
O8 = son las MIME que se encuentran en nuestro IE.
Las MIMEs se encuentran en
HKCU\Software\Microsoft\Internet Explorer\MenuExt, pero obviamente que si no llegasemos a reconocer la ruta o la supuesta MIME, deberiamos buscar y luego de estar seguro realizar el
Fix Checked
O9 = Son todas las herramientas extras que contienen nuestro menu del IE.
En el Registro se guardan en
HKLM\...\Internet Explorer\Extensiones, en el caso de que los deseasemos desaparecer basta tan solo con
Fix Checked
O10 = Winsock hijackers, esta entrada debemos de tener cuidado, ya que puede dañar nuestra preciada conexión a intener, cosa que no queremos que suceda, asi que para observar bien que es lo que sucede con esta entrada, recomiendo utilizar el LordPE.
Esta entrada generalmente si es que tubiese un malware (Spyware -->New.net) seria de la siguiente forma:
O10 - Hijacked Internet access by New.Net
O11 = Son las Opciones Avanzadas denuestro querido IE MSIE (Extras), la entrada del Registro para verificar (curiosidad) seria
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptionsLos creadores de Hijack This creen que no hay malware que pueda hacer aparicion en esta pestaña excepto el hijacker CommonName, que seria una entrada similar a esta
O11 - Options group: [CommonName] CommonName
O12 = Son todos los Plugins de IE, creo que no hay que realizar tanto desmero por describir esta linea, solo se ha reportado un solo caso de Spyware en esta linea, que es detectado por su extensión *.ofb
O13 = Hijack del prefijo por defecto en IE.
Debemos tener cuidado con
hijacker CoolWebSearch (CWS)... Este modifica el DefaultPrefix por lo siguiente:
http:\\ehttp.cc/?
Para que hace esto
... lo hace para redireccionar al usuario a la página correspondient
e, un ejemplo es:
http:\\ehttp.cc/www.google.cl
En Hijack This nos mostrará una linea similar a esta:
O13 - WWW. Prefix: http://ehttp.cc/?
Para esto, utilizaremos mejor el
Para ver este enlace Registrate o Inicia SesionCWSShreadder
, que se especializa con este tipo de temas... y si no es suficiente utilizaremos Hijack This.
O14 = Hijack de la configuración por defecto de IE ubicado en el fichero iereset.inf, preferible pasar el
Fix Checked, ya que cada vez que reseteasemos a la Configuración por defecto lo tendriamos de nuevo, sobre nuestro Browser.
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Claro esta que antes de pasar el
Fix Checked, debemos fijarnos bien en la URL
O15 = La Seguridad en Intener Explorer es basada bajo zonas, es totalmete posible añadir sitios de confianza o sitios restringidos, estos datos se almacenan en:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
En el caso que agregésemos a
Para ver este enlace Registrate o Inicia Sesionwww.portalhack er.net
como sitio de confianza deberia salir una línea similar a esta:
O15 - Trusted Zone: www.portalhacker.net
De lo contrario CWS puede ingresar sus dominios, los cuales pueden observarse de la siguiente forma:
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
Lo mejor es eliminarlos (
Fix Checked)
O16 = Aquí se muestasn los programas que son descargados desde alguna Web y guardados en el Pc
...\Download Programs Files) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Este por ejemplo es algo no fuera de lo normal, en cambio:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) -
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
Que hay de diferente entre estos dos ejemplos
... que el segundo se muestran nobres pornográficos.
Para estar más seguro podremos utilizar otra herramienta valiosa al defendernos de estos tipos Activex, como es el caso de
Para ver este enlace Registrate o Inicia SesionSpyware Blaster de Java Cool
O17 = En esta forma se puede observar, que los DNS son cambiados por el nuestro, para que de esta forma se utilice el DNS de atacante y redireccionarn
os a donde necesiten.
HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37
Aquí, debiesemos observar los DNS que nos proporciona
nuestro ISP.
Para asegurarnos de una mejor forma es recomendable realizar un Whois.
O18 =
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.
HJT primero busca protocolos "no estándar" en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID
Ejemplo spyware:
O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18 aplicarles 'Fix Checked'.
O19 = En el caso de que aparezca este enunciado lo recomendable es realizar un inmediato
Fix Checked, o lo otro recomendable es pasar el CWSShreadder.
El grupo O19, corresponde a:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Las hojas de Estilo
Ejemplo maligno
O19: User style sheet: c:\WINDOWS\Java\my.css
O20 = Se basa especificament
e en las
AppInit_DLLsPodemos observar este valor en la siguiente llave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Todas las dll´s que se encuentran bajo esta Hives o llave, son cargadas durante el inicio del Sistema, entonces... como podemos atacarlas o detectarlas si se cargan durante el inicio del sistema
, permitiendose a si mismas escondiendose y protegiendose
O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
O21 = Similar al Item anterior (O20), con la diferencia que esta señala al InProcServer del CLSID (información de las Dll que se estan usando).
Este se carga en conjunto con Explorer.exe, como Explorer.exe es una shell,
debe cargarse, entonces todas las llaves (Hides) deberán cargarse en conjunto con Explorer.exe al inicio del sistema (antes que intervengamos en el mismo).
Para ver en forma manual que se carga en esta llave debemos observar la siguiente hide:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Para estar seguro de los procesos que se cargan podemos ver lo siguiente:
Otra forma seria ejecutando msconfig
O22 = Este señala la sección del Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Es recomendable antes de eliminar alguna de estas opciones revisar lo siguiente
O23 = Trata de los sistemas NT que corren bajo la computadora.
O24 = Son los componentes ActiveX que estan en el Escritorio.
2.5.- ComandosPara ejecutar los comandos, nos situaremos en la consola (cmd)
Buscaremos nuestro HijackThis y ejecutaremos lo siguiente (depende lo que queramos).
- .../autolog - Escanea, Graba y abre el Log
- .../ihatewhitelists - Muestra la pantalla principal de HijackThis
- .../uninstall - Desinstala HijackThis y remueve todos los Backups que tomo antes
- .../silentautuolog - es como el /autolog, solo que no requiere la intervencion del usuario
3.- RiesgosComo pueden ver, los riesgos de utilizar de mala forma este programa podría causar inclusive la inutilización del sistema, recomiendo saber que es lo que hacen, si no estan seguros, el Foro esta abierto a preguntas4.- conclusiónTener en cuenta que con no solo con utilizar este programa, significa que estas sanos y salvos de todo tipo de Malware, como dijo una vez Sun Tzu
Si ignoras todo acerca de tu enemigo y de ti,
ciertamente en cada batalla estarás en peligro – Sun Tzu
Espero sea de su agrado este material que he preparado para el Foro CPH, algo dejo en claro, hay citas de donde he sacado un poco de información, no quiere decir que se haya realizado un copy&paste (quiero dejar bien en claro esto).
Saludos.
Ps. Este manual tambien se encontrará en las FAQs de Windows.
Autor