Spyware, ADWare e BHO
Una tecnica ormai diffusa per l'installazione in Internet Explorer, tipicamente con mezzi poco leciti, di moduli di ricerca, toolbar, o nei casi peggiori spyware o programmi che aprono regolarmente Popup pubblicitari, è l'uso dei Browser Help Object.
Browser Helper Object (BHO): Un BHO è un plug-in sotto forma di DLL che consente agli sviluppatori di estendere le funzionalità di Internet Explorer.
Alcuni BHO possono addirittura cambiare l'home page di IE o visualizzare a intervalli regolari pubblicità con dei popup, poichè molte delle funzionalità di windows si basano su Internet Explorer, l'installazione di questi BHO maligni causa problemi a tutto il sistema, potremo quindi trovarci con un sistema malfunzionante o vedere pagine pubblicitarie che si aprono in maniera casuale, o avere altri problemi.
Inoltre questi programmi, se il sistema non è costantemente aggiornato, potrebbero sfruttare delle vulnerabilità del browser per installare keylogger, worm o altro.
Con Windows XP SP2 Microsoft ha cambiato la modalità di installazione e gestione dei BHO, ora l'installazione dei moduli viene notificata all'utente ed è possibile comunque individuare i plug-in e disattivarli direttamente da Internet Explorer, cliccando su: Menu Strumenti -> Opzioni Internet -> Programmi -> Gestione componenti aggiuntivi.
Purtroppo per i possessori di sistemi precedenti non è disponibile questo strumento.
E' comunque possibile effettuare una ricerca nel Registro di Windows, questa operazione è sconsigliata agli utenti inesperti, infatti rimuovendo dei moduli sbagliati si potrebbe anche rendere inutilizzabile Internet Explorer e le parti del sistema che fanno uso dei suoi componenti, quindi l'Explorer e Windows stesso.
Controllate le chiavi:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Nella posizione 1 troverete una lista di sottochiavi nel formato: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
Nella posizione 2 troverete una lista di valori stringa nel formato: {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
Per ciascuno dei nomi:
1) Verificare il valore predefinito, se presente, della chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[mioCLSID]\InprocServer32\
dove [mioCLSID] è il valore preso dalla lista.
2) Verificare il valore predefinito, se presente, della chiave
HKEY_CLASSES_ROOT\CLSID\[mioCLSID]\InprocServer32
dove [mioCLSID] è il valore preso dalla lista.
Nella posizione sopra indicata troverete il riferimento alla DLL caricata, dovrete verificare se corrisponde a un programma installato intenzionalmente da voi, oppure se è un file non voluto, e decidere di eliminarlo, vi invitiamo a procedere con attenzione, perchè eliminando file necessari a windows, o modificando in modo non errato il registro potete rendere il sistema inutilizzabile.
|
|