HiJack IE

Problematika virů a antivirů, zabezpečení PC - firewall, spyware, atd.
Odpovědět
Lemra
Čestný člen
Čestný člen
Uživatelský avatar
Registrován: 03. zář 2003

HiJack IE

Příspěvek od Lemra »

Vystihnout a detailně popsat velmi komplexní a rozsáhlou problematiku HiJacku internetového prohlížeče IE v jednom threadu tohoto fóra se určitě nepodaří, přesto se chci pokusit sestavit zde s Vaší pomocí jakousi Knowledge databázi stále se opakujících problémů s vnuceným chováním Internet Exploreru, která si klade za cíl obsahovat popis problémů s jednotlivými variantami HiJacku a jejich následné odstranění. V případě zájmu do tohoto threadu možná časem začlením i související problematiku SpyWaru a škodlivých kódů (typicky dialery), využívajících nejen trojany, ale i instalaci komponent ActiveX.

Změnila se Vám domovská stránka a nelze ji nahradit jinou, Váš prohlížeč byl "obohacen" o nejrůznější plug-iny, toolbary, vyhledávací lišty? Napíšete do adresního řádku adresu a jste přesměrováni na "vyhledávací" server? Prohlížeč je pomalý, při prohlížení stránek a otevírání oken vypisuje chybová hlášení nebo se rovnou kousne? Právě jste se stali čerstvými majiteli problému, zvaného HiJack, a na Váš počítač byly (zpravidla) bez Vašeho souhlasu nainstalovány nové soubory, měnící zásadním způsobem chování IE a přidávající nové vlastnosti do Vašeho operačního systému. Kromě viditelných problémů s ovládáním IE tyto prográmky otevírají backdoory do Vašeho systému, sbírají údaje o nainstalovaném SW, prohlížených stránkách a otevíraných dokumentech, logují stisky kláves a získané údaje po zakryptování odesílají autorům těchto prográmků.

POPIS NÁKAZY A FUNGOVÁNÍ

Možnost HiJacku poskytuje IE od verze 4.x výše, a to prostřednictvím následujících dvou objektů:

BHO - Browser Helper Object je v systému registrovaná DLL knihovna, která umožňuje vývojářům přizpůsobit chování a ovládání IE. V okamžiku startu IE dojde k přečtení jednotlivých záznamů o BHO v registru Windows a IE natáhne BHO do paměti a přidělí mu prostředky. Od této chvíle BHO začíná plnit svoji funkci - otevře vyhledávací www stránku, přidá tlačítka a lišty do IE nebo jen sleduje pomocí metod GET a POST odesílaná data z formulářů, a to klidně před jejich zašifrováním pomocí protokolu SSL - čili třeba https spojení s Vaší bankou je od této chvíle logováno...

Trojský kůň - soubor(y), obsahující škodlivý kód. Trojan bývá běžně zaměňován za virus, ale jde o zcela jiný druh kódu. Virus se snaží v systému zůstat skryt a jeho cílem je nakazit další počítače svým kódem, přičemž primárně neškodí, ale velmi aktivně se brání případnému odstranění - v ideálním případě je dosažena jakási biologicky analogická symbióza s hostitelem (hostitel s virem bez problémů funguje, po zničení vira umírá i hostitel). Trojan se nedokáže sám šířit, potřebuje, aby ho uživatel spustil. Tváří se tedy třeba jako atraktivní spořič, hra nebo i utilita určená k odstranění spyware nebo virů a v okamžiku spuštění provede okamžitě nějakou vesměs destruktivní akci - otevření backdoors, smazání souborů, přes dropper vypuštění jiného škodlivého kódu (typicky viru), zformátování HDD nebo třeba HiJack IE...

Získat některý z těchto objektů lze buď instalací SW, obsahujícího "navíc" jako bonus zdarma tzv. spyware, nebo návštěvou stránky, která obsahuje kód (skript je v tomto případě označován jako exploit), využívající některé z chyb v IE a umožňující soubory se škodlivým kódem stáhnout na disk, nainstalovat, zaregistrovat a spustit. Zatímco spyware lze většinou poměrně snadno odstranit pomocí odpovídajícího SW (SpyBot S&D, AdAvare...), plug-iny stažené z www stránek se chovají mnohem agresívněji, proti svému odstranění aktivně bojují a zpravidla vyžadují pro ukončení své existence v systému buď ruční zásah, nebo použití speciálního jednoúčelového programu.

DETEKCE

Situaci, kdy se Vám v systému "uhnízdil" trojan, poznáte snadno podle výše uvedených příznaků - trojan nemá důvod svoji činnost v systému nijak maskovat. Až na výjimky proto jeho procesy nevyužívají stealth technik a jsou zjistitelné i běžnými softwarovými prostředky. WinXP nabízí utilitu pro diagnostické spouštěni MSCONFIG - na kartě Po spuštění vidíte některé procesy, které se spouští "navíc" (t.j. nad rámec běžně spuštěných systémových procesů a služeb) po startu windows. Totéž lze najít v obsahu podklíčů Run, složce Po spuštění nebo v sekcích "load" a "run" inicializačních souborů systému (win.ini, system.ini).

Dokonalejší přehled o spuštěných procesech "navíc" poskytne utilita HiJack This - stejně jako v MSCONFIG je zde možno zabránit některým procesům spustit se při startu systému. Pokud ovšem přesně nevíte, co děláte, už taky nemusíte systém vůbec nastartovat. Pro běžného uživatele má tato utilitka neocenitelnou vlastnost - poskytne výpis, který mají možnost poslat zkušenějším, kterým poslouží k lepší dálkové diagnostice a řešení problému. Začátečníkům zde na fóru tuto možnost velmi doporučuji, protože po postnutí Vašeho logu je možné se bavit o konkrétním problému. Utilita samozřejmě není všemocná - existuje řada elegantnějších možností spuštění služby nebo procesu přes jiné služby v systému registrované dll knihovny, která začíná být hojně využívána.

Otestovat log z utilitky HiJackThis můžete i online na adrese http://www.hijackthis.de/cz - jde samozřejmě pouze o automatizované porovnání s databází známých řetězců, ale pro začátečníka může i tento postup za příznivých podmínek vést k cíli.

PREVENCE

Neinstalujte žádný SW a nenavštěvujte jiné než bezpečné stránky (třeba PCT)... jasně, tohle je 100% řešení, ale tudy cesta nevede. Nepoužívejte Internet Explorer - ale zapomeňte na Vaši internetovou správu bankovního účtu... a nebo se chovejte jako dosud, a pouze zkombinujte následující - pořadí volím podle důležitosti:

ZÁPLATY. Nainstalujte si všechny kritické systémové patche na Vaše Win/IE co nejdřív - ale dobrý je zase nebýt paranoidní a chvíli počkat, protože některý záplaty jednu věc opraví a dalších deset zku**... chci říct vznikne řada nových problémů, který řeší další patche, který mají zase chyby... Sledujte diskuzní fóra, zejména PCT... :) Spoustu programátorských chyb obsahuje každý prohlížeč a IE je, vzhledem k jeho masívnímu rozšíření, pro autory škodlivých kódů prohlížečem zásadním. Například jenom červencové vydání bezpečnostních záplat od MS obsahuje (m.j.) čtyři záplaty na important/critical chyby, umožňující spustit a vykonat na Vašem stroji kód útočníka.

ZÁKAZ PŘÍSTUPU. IE umožňuje definovat seznam serverů, které budou označeny za nedůvěryhodné. Seznam lze aktualizovat ručně - v otevřeném okně IE Nástroje - Možnosti internetu - karta zabezpečení - Servery s omezeným přístupem. po kliknutí na tlačítko servery je možné přidat zakázané adresy serverů - ručně doporučuji přidat zejména *.bbmedia.cz, *.billboard.cz a *.eproton.cz (neobsahují spyware, ale skoro... :) ). Na této adrese najdete zazipovaný textový soubor s příponou reg, který obsahuje momentálně známé "potenciálně" nebezpečné stránky. Soubor naimportujte do registru a pravidelně aktualizujte - jako vše na inetu, obsahuje chyby a stále se vyvíjí. Jeho editace je jednoduchá, pokud se na nějakou zakázanou stránku potřebujete dostat, vymažte adresu serveru ze seznamu Serverů s omezeným přístupem v IE.

BHO. Pro sledování instalací nových BHO existuje vynikající freeware utilita Browser Hijack Blaster - bohužel byl její vývoj zastaven a z těchto stránek už ji nestáhnete. Zatím ji lze najít na této adrese. Utilita monitoruje stávající instalované BHO + nastavení podklíčů, definujících pro účela HiJacku podstatná nastavení IE, a při pokusu o jejich změnu okamžitě reaguje a nabídne možnost zachovat stávající - změnit. Díky ní zjistíte, že třeba i Adobe Acrobat Reader si kupodivu instaluje vlastní BHO...

TROJSKÉ KONĚ. Používejte aktualizovaný AV soft s kvalitním rezidentním štítem, takovým, který umí rozpoznat, stopnout a deaktivovat i spuštěný exploity z www stránek dřív, než se stihnou vykonat. Moje doporučení je jediný - KAV5. Žádný jiný AV soft při mých testech týkajících se HiJacku neuspěl. Ani KAV samozřejmě není dokonalý - nabídne Vám možnost exekuci kódu stopnout a kód smazat, nebo pokračovat. Pokud zvolíte pokračovat (třeba jako já proto, že kód chcete následně pitvat), už není cesty zpět - a protože pro KAV5 neexistuje cz rozhraní (PCS software, distributor pro ČR, slibuje termín do konce prázdnin), dávejte pozor, co potvrzujete...

FIREWAL. Důležitá, ale problematická záležitost. Jednak nastavit FW pod Win není vůbec triviální záležitost - řada služeb naslouchá/komunikuje na řadě efemérních portů (zlatej linux a IP tabulky), ale největší problém je v tom, že škodlivý kódy dorazí přes port 80, kde běží HTTP. Přínos FW vidím v možnosti logování odchozí komunikace - tam je potom vidět případná snaha trojana otevřít na některým portu backdoor. Samozřejmě, řada trojanů využívá i pro odchozí komunikaci port 80.

SPYWARE. Existuje řada SW na detekci spyware v PC - ovšem v případě agresívních www stránek a následně instalovaných a běžících služeb je zcela bezmocná. Může upozornit na problémy, ale nedokáže je odstranit. Navíc jsou programy typu AdAware či SpyBotSD natolik profláklé, že všechny nové varianty nákazy obcházejí nejen jejich detekční postupy, ale i schopnost výmazo klíčů v registrech. Jsou i placené varianty detektorů a removerů spyware (třeba AdWare X Eliminator), ale ani jejich detekční a zejména odstraňovací funkce nejsou nějak výrazně lepší, než u freewaru. Proto tyto užitečné prográmky řadím v sekci PREVENCE až úplně nakonec...

ODSTRANĚNÍ

Způsob odstranění pro každý jednotlivý HiJack je typický. Spoustu věcí lze najít na netu, pomocí debugeru je možné trojana rozpitvat a zjistit, jak pracuje... Pro účely fóra zde budu uvádět odkazy na HiJack tak, jak se v systému prezentuje. Veškeré dostupné informace a otázky/odpovědi potom budou vedeny v těchto threadech. Téma zůstáva odemčeno a budu rád, když přispějete přimo sem, ale počítejte s tím, že zde bude řada moderátorských zásahů - základní snahou bude udržet maximální přehlednost tohoto threadu, který si klade za cíl pouze zjednodušit Vaše pátrání při odstraňování Vašich problémů.

Zatím sem uvedu (prosím o doplnění, dík):

• e-Zula
• MartFinder.com
• Cool Web Search, nebo tady
• I-LookUp
• MSN.com
• SearchCentral.cc
• OutHost.info

• Zatím nevyřešeno
..
shadow
Středně pokročilý
Středně pokročilý
Uživatelský avatar
Registrován: 28. zář 2003
Bydliště: HK

Příspěvek od shadow »

Doplňující utilita k Hijackthis (např. pro zobrazení skrytých procesů).

GMER

http://www.gmer.net/index.php

GMER is an application that detects and removes rootkits .

It scans for:
# hidden processes
# hidden threads
# hidden modules
# hidden services
# hidden files
# hidden Alternate Data Streams
# hidden registry keys
# drivers hooking SSDT
# drivers hooking IDT
# drivers hooking IRP calls
# inline hooks

GMER also allows to monitor the following system functions:
# processes creating
# drivers loading
# libraries loading
# file functions
# registry entries
# TCP/IP connections

GMER runs on Windows NT/W2K/XP/VISTA
show must go on..
aliencz
Začátečník
Začátečník
Uživatelský avatar
Registrován: 03. čer 2003
Bydliště: BRNO
Kontaktovat uživatele:

Re: HiJack IE

Příspěvek od aliencz »

Užitečná stránka, zabývající se postupem odstraňování celé řady záludných spywarů:

http://www.xp-vista.com/spyware-removal

Další z vlastností, které HiJacks a spyware obecně rády používají jsou různé blokace a skrývání různých fukcí, které jinak usnadňují odstranění škůdce. Zde je stránka, kde je popsáno velmi mnoho různých editací v registrech, které programy využívají a tudíž je s touto pomocí můžete vrátit do původní podoby. Obecně totiž úspěšné odstranění škůdce nevede k původním nastavením.

http://triky.naplno.com/tt47.htm

A jednou z nejčastějších je "ovládnutí" nastavení obrazovky, kdy povětšinou na plochu škůdce umístí nějaké svoje úchvatné obr-logo a následně zablokuje (odstraní) záložky pro možnost nastavení obrazovky.
babajaga
Nováček
Nováček
Registrován: 09. pro 2008

Re:

Příspěvek od babajaga »

shadow píše:Doplňující utilita k Hijackthis (např. pro zobrazení skrytých procesů).
GMER
http://www.gmer.net/index.php

jeho prednost nejenom spociva v detekci, ale psani i scriptu na zmazani souboru/zaznamu v registru jak pres "vlastni" syntax gmeru tak i pres cmd. Bohuzel ma slabsi driver.
lama
Odpovědět

Zpět na „Viry, antiviry a bezpečnost“