Nesta Página
- R0, R1, R3 — Configurações do IE
- F0, F1, F2, F3 — Inicialização Rara
- N1, N2, N3, N4 — Configurações do Netscape
R0, R1, R3 — Configurações do IE
Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros.
| No Registro |
Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também. |
|---|---|
| No Disco | – |
| Observações | O (obfuscated) ao lado de uma entrada significa que a mesma está em valor hexadecial e que o HijackThis a converteu para um formato legível. |
Detalhes
Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca.
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.com/
Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook:
R3 – URLSearchHook: transURL Class – {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} – C:WINDOWSSystem32SEARCH~1.DLL
Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o HijackThis não encontrou o arquivo no disco.
Observações
Existe uma entrada que você deve ter cuidado. A que trata de proxies:
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = https://
O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço interno da rede, como 192.168.0.1, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis).
O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL).
Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.
Como saber
Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada iniciar com res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não.
Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata.
Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.
F0, F1, F2, F3 — Inicialização Rara
Essas entradas mostram os arquivos que serão iniciados com o Windows por meio dos arquivos INI do sistema.
| No Registro |
|
|---|---|
| No Disco |
|
| Observações | É raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo. |
Detalhes
A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep.
É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ‘shell’, este outro shell na verdade é um trojan.
F2 – REG:system.ini: Shell=explorer.exe programa-ruim.exe
programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula.
E aí temos o Load e o Run do Win.ini:
F3 – REG:win.ini: run=arquivo.exe
Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.
Observações
- É necessário um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legítimo é feito por drivers e outros programas críticos ao bom funcionamento do sistema
Como saber
Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito.
N1, N2, N3, N4 — Configurações do Netscape
Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape.
| No Registro | – |
|---|---|
| No Disco | prefs.js |
| Observações | Cada entrada se refere a uma versão diferente do navegador, mas apresentam os mesmos dados. |
Detalhes
A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla.
N1 – Netscape 4: user_pref(“browser.startup.homepage”, “www.google.com”); (C:Program FilesNetscapeUsersdefaultprefs.js)N2 – Netscape 6: user_pref(“browser.startup.homepage”, “http://www.google.com”); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
Observações
–
Como saber
Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.
Linha Defensiva 