Virus / DialerHideouts

SearchWiki Virus.RecentChanges Edit Page Page Revisions

---

Services

Avvio Automatico

Helper (tunnel)

Internet Explorer

Browser Helper Object

I Browser Helper Object (BHO) sono delle librerie DLL in grado di interfacciarsi a, e comandare, Internet Explorer (dalla versione 4 in su). A questo scopo, nel registro di sistema esiste una chiave del tutto simile all'"AutoStart?" di Windows, le cui DLL però vengono caricate all'apertura di Explorer. I BHO hanno accesso all'intero spazio di Internet Explorer e possono potenziare le ricerche su Internet, aggiungere effetti alle pagine, intercettare cookies, download, gestire il resume... tutto!

Naturalmente i produttori di spyware hanno un'idea tutta loro di cosa significhi "potenziare", "aggiungere effetti", "arricchire la navigazione".

Esempi di BHO sono GetRight? e Go!Zilla, ma anche Alexa o ClickRich?, e naturalmente la Google Toolbar.

Un BHO puo' rimanere del tutto invisibile all'utente e non è obbligato a fornire un hook per disinstallarsi. E naturalmente, avendo le mani dentro alle budella di Internet Explorer (che, hey, è integrato nel sistema operativo), possono anche fargli venire una colite.

Microsoft Specifications: Su MSDN

Software per controllare i BHO:

• BHODemon
• BHOCaptor
• BHO Cop

attendo con impazienza che qualcuno scriva Doctor BHO'.''

Controllo manuale: Nel registro trovate qualcosa come HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CUCCU-RRUCCU-CCUU-PALOMA}

Allora andate nei corrispondenti: HKLM\Software\Classes\CLSID\{CUCCU-RRUCCU-CCUU-PALOMA} e HKCR\CLSID\{CUCCU-RRUCCU-CCUU-PALOMA}

e, nel primo, trovate le informazioni sul PATH. Per esempio:

=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion?\Explorer\Browser Helper Objects=] contiene: {AA58ED58-01DD-4d91-8333-CF10577473F7} {53707962-6F74-2D53-2644-206D7942484F}

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7} Predefinito = "Google Toolbar Helper" HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{53707962-6F74-2D53-2644-206D7942484F} Predefinito = ""

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\InprocServer32 Predefinito = "C:\Program Files\Google\GoogleToolbar1.dll" HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\InprocServer32 Predefinito = "C:\Program Files\SpyBotSD\SDHelper.dll"

Voilà. Ecco scoperto che i due BHO su questa macchina sono Google Toolbar e SpyBotSD, entrambi helper "buoni".

Per eliminare a mano un BHO, occorre:

1. Chiudere tutte le finestre di Internet Explorer
2. Cancellare il file DLL del BHO
3. Eliminare la chiave in CLSID
4. Eliminare la chiave in Browser Helper Objects.

---

Edit Page - Page Revisions - WikiHelp - SearchWiki - RecentChanges
Page last modified on August 26, 2004, at 09:24 AM