Nesta Página

R0, R1, R3 — Configurações do IE

Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros.

No Registro
  • HKLMSoftwareMicrosoftInternet ExplorerMain
  • HKCUSoftwareMicrosoftInternet ExplorerSearchURL: (Default)
  • HKCUSoftwareMicrosoftInternet ExplorerMain: Window Title
  • HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: ProxyOverride
  • HKCUSoftwareMicrosoftInternet Connection Wizard: ShellNext
  • HKCUSoftwareMicrosoftInternet ExplorerMain: Search Bar
  • HKCUSoftwareMicrosoftInternet ExplorerURLSearchHooks
  • HKLMSoftwareMicrosoftInternet ExplorerSearch
  • HKLMSoftwareMicrosoftInternet ExplorerSearch

Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também.

No Disco
Observações O (obfuscated) ao lado de uma entrada significa que a mesma está em valor hexadecial e que o HijackThis a converteu para um formato legível.

Detalhes

Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca.

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.com/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.com/

Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook:

R3 – Default URLSearchHook is missing
R3 – URLSearchHook: transURL Class – {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} – C:WINDOWSSystem32SEARCH~1.DLL

Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o HijackThis não encontrou o arquivo no disco.

Observações

Existe uma entrada que você deve ter cuidado. A que trata de proxies:

R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 127.0.0.1:8080
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = https://

O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço interno da rede, como 192.168.0.1, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis).

O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL).

Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.

Como saber

Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada iniciar com res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não.

Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata.

Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.

F0, F1, F2, F3 — Inicialização Rara

Essas entradas mostram os arquivos que serão iniciados com o Windows por meio dos arquivos INI do sistema.

No Registro
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit
  • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping
No Disco
  • c:windowssystem.ini
  • c:windowswin.ini
Observações É raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo.

Detalhes

A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep.

É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ‘shell’, este outro shell na verdade é um trojan.

F0 – system.ini: Shell=Explorer.exe programa-ruim.exe
F2 – REG:system.ini: Shell=explorer.exe programa-ruim.exe

programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula.

F2 – REG:system.ini: UserInit=userinit.exe, programa-ruim.exe

E aí temos o Load e o Run do Win.ini:

F1 – win.ini: run=arquivo.exe
F3 – REG:win.ini: run=arquivo.exe

Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.

Observações

  1. É necessário um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legítimo é feito por drivers e outros programas críticos ao bom funcionamento do sistema

Como saber

Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito.

N1, N2, N3, N4 — Configurações do Netscape

Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape.

No Registro
No Disco prefs.js
Observações Cada entrada se refere a uma versão diferente do navegador, mas apresentam os mesmos dados.

Detalhes

A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla.

N1 – Netscape 4: user_pref(“browser.startup.homepage”, “www.google.com”); (C:Program FilesNetscapeUsersdefaultprefs.js)N2 – Netscape 6: user_pref(“browser.startup.homepage”, “http://www.google.com”); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)

Observações

Como saber

Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.