Hlavní navigace

HijackThis je netradiční nástroj do války se spywarem. Pro experty

17. 4. 2012

Sdílet

 Autor: Redakce

HijackThis je efektivní a rychlý bezpečnostní nástroj, původně určený k detekci a odstranění aplikací, jejichž cílem byly změny nastavení prohlížeče – přesněji „unesení nastavení“. V současnosti můžete tuto aplikaci úspěšně použit pro vyhledání a odstranění škodlivých doplňků pro prohlížeče, nežádoucích programů, některých druhů virů, spyware a reklamních sítí (adware).

Aplikace je nabízena jako open source a skládá se z pouze jednoho malého, přibližně 380 kB velkého, spustitelného souboru, který může pracovat na libovolném počítači s operačním systémem Windows 95 nebo novějším. HijackThis původně naprogramoval a poměrně dlouho udržoval Merijn Bellekom, který ho následně odprodal společnosti Trend Micro. Tu už asi znáte. Firma pak 16. února tohoto roku uvolnila zdrojový kód HijackThis jako open source – nyní je k dispozici na stránkách SourceForge.

HijackThis není typickým antispywarem ani antivirem. Program nekontroluje souborový systém (tzn. nehledá škodlivé soubory uložené na disku), nýbrž prověřuje pouze registr Windows, běžící procesy a některé systémové soubory. Navíc ani nerozlišuje nalezené objekty na škodlivé a legitimní, ale umí vypsat všechny položky, které mohou být potenciálně nebezpečné a nežádoucí. Tento způsob prezentace ale není zrovna výhodou, protože aplikace se zaměřuje specificky na zkušené a profesionální uživatele, jež mají potřebné znalosti a dokážou určit, které objekty jsou hrozbou. Ty je vhodné je opravit či odstranit ze systému.

 

HijackThis se od antivirů dále liší v tom, že neobsahuje průběžně aktualizovanou databázi s definicemi spywaru či virů. Ve skutečnosti totiž nic takového nepotřebuje, protože jeho cílem je najít všechny podezřelé položky registru, které tam nepatří. To umožňuje snadno zjistit nejnovější škodlivé aplikace, stejně jako již známé infiltrace.

Součástí je sada bezpečnostních nástrojů, určených k odstranění dotčených souborů, služeb a škodlivých komponent. Tyto nástroje dokáží zlikvidovat i objekty, které nemohou být normálně zjištěny a odstraněny. Například některé spywarové aplikace spouštějí procesy, které nelze ručně ukončit, mohou být dokonce operačnímu systému nepřístupné – i s tím si HijackThis poradí. Z dalších užitečných nástrojů jmenujme kupříkladu editor souboru hosts a pokročilé správce běžících procesů a odinstalace aplikací. Rozhraní HijackThis je čisté a jednoduché, navzdory tomu jej nepovažujeme za pohodlné a uživatelsky přívětivé.

Stažení a spuštění

HijackThis lze stáhnout, jak jsme zmínili výše, ze stránek SourceForge.net. Stažený soubor HijackThis.exe není nutné rozbalovat, ani instalovat. Jeho spuštěním rovnou otevřete úvodní obrazovku celé aplikace. Aplikaci tedy můžete zkopírovat a spouštět například z CD, DVD nebo flash disku.

Z úvodní obrazovky můžete hned zahájit skenování stiskem tlačítka Scan, případně lze pokračovat do hlavní nabídky skrzue tlačítko Main Menu.

Zvolíte-li druhou variantu, dostanete se do nabídky obsahující šestici základních ovládacích prvků. Jejich funkce si stručně projdeme:

  • Do a system scan and save a logfile – Provede skenování a výsledek uloží do textového souboru. Proč je tato možnost patrně nejlepší v případě, kdy hledáte příčinu podivného chování vašeho prohlížeče či počítače, uvidíte dále. Soubor se záznamy o provedeném skenu je uložen do stejné složky, ze které byl HijackThis.exe spuštěn.
  • Do a system scan only – Provede pouze skenování systému, výsledky vypíše v okně aplikace, ale neukládá je do textového souboru. To je možné provést dodatečně.
  • View the list of backups – Před provedením jakékoli změny (opravy, smazání,…) provádí HijackThis zálohu. V případě nečekaných problémůje tedy možné vrátit se k původnímu stavu.
  • Open the Misc Tools section – Sekce s dalšími nástroji, jíž si popíšeme níže.
  • Open online HijackThis QuickStart – Otevře tuto webovou stránku, kde byl původně průvodce aplikací. Po akvizici společností Trend Micro jsou zdek dispozici pouze základní informace o programu.
  • None of the above, just start the program vás vrátí na předchozí obrazovku.

Skenování, kontrola, online analýza

Hlavní funkcí nástroje HijackThis je tedy skenování, specificky zaměřené na potenciálně škodlivé komponenty. Výsledků se obvykle dočkáte již po necelé minutě.

Pokud víte, co děláte, můžete rovnou předvolbami označit nežádoucí objekty a následně je odstranit tlačítkem Fix checked. Vhodnější ale bude nejprve nález analyzovat. Bohužel v době testu nefungovala oficiální stránka na webu Trend Micro, což ale není zásadní problém – stačí použít volbu Do a system scan and save a logfile, která na konci testu otevře v Poznámkovém bloku podrobný záznam skenování. (Stejného výsledku dosáhnete, pokud po dokončení skenování použijete tlačítko Save log, ve které se promění původní Scan). Textový záznam pak zkopírujte, vložte na stránce www.hijackthis.de do formuláře a odešlete k analýze stiskem tlačítka Analyzuj.

Obratem byste měli obdržet výsledky, reprezentované jak graficky, tak i textovým popisem. Jednou z výhod tohoto postupu je fakt, že se na hodnocení potenciálního ohrožení podílejí také ostatní uživatelé HijackThis, což dává poměrně velkou šanci na objevení i jinak nedetekovatelných ohrožení (typicky například k odhalení komerčních programů, monitorujících činnost na počítači, které mnohé antivirové aplikace záměrně ignorují).

Teprve po této analýze doporučujeme označit zatržítkem prokazatelně nežádoucí položky, a následně je odstranit tlačítkem Fix Checked.

Další nástroje

Pod tlačítkem Open the Misc Tools section se skrývá celá sada jednoúčelových nástrojů, jež patří do rukou pouze pokročilým uživatelům. Projděme si ale stručně nabídku, která bude v některých případech neocenitelným pomocníkem.

  • Generate StartupList log – Vytvoří textový soubor s výpisem všech aplikací, spouštěných společně s operačním systémem.
  • Open process manager – Správce běžících úloh. Aktivací zatržítka Show DLLs pak můžete sledovat dynamické knihovny, „pověšené“ na jednotlivé procesy. Označený proces lze ukončit tlačítkem Kill process.

 

WT100

  • Open hosts file manager – Tato volba nedělá nic jiného, než že otevře soubor hosts. Ten používá operační systém k překladu názvů na IP adresy. Pokud si například do souboru hosts uložíte, že adrese www.seznam.cz odpovídá záznam 74.125.232.209, bude se po zadání adresy Seznamu otevírat Google. Toho zneužívají některé škodlivé aplikace, zaměřující se na podvržení stránky – typicky bankovních institucí. Naopak jiné programy používají tento soubor k blokování škodlivých webů, reklamy, apod. HijackThis dovoluje tento soubor prohlížet, editovat a mazat jednotlivé řádky

 

  • Delete a file on reboot – Mnohé škodlivé aplikace používají při své činnosti soubory, které není možné z běžícího systému odstranit. To je možné provést jedině během startu Windows, kdy ještě nejsou v paměti načteny komponenty, bránící smazání takového souboru. Po volbě Delete a file on reboot si tedy Windows „poznamenají“, že mají požadovaný soubor odstranit, což během následujícího restartu také provedou. Můžete se tak zbavit zdánlivě nezničitelných souborů.
  • Delete an NT service – Podobným způsobem jako soubor můžete smazat rovněž službu Windows. Musíte ale znát a zadat její přesný název, služba musí být navíc před tímto požadavkem zastavena a zakázána.
  • Open ADS Spy – Jde o malý nástroj zobrazující takzvané alternativní datové proudy (ADS) v souborovém systému NTFS. ADS je způsob ukládání metainformací o souborech, aniž by tato data byla uložená v samotném souboru. Tyto metainformace pak nejsou v Průzkumníku Windows vidět. Některé škodlivé aplikace používají tuto techniku k uchování skrytých informací, dokonce dokáží do ADS ukládat i spustitelné soubory. 
  • Open Uninstall Manager – Umožňuje spravovat záznamy nalezené v Ovládacích panelech v sekci Odinstalovat program. Zejména při odstraňování malware zde mohou zůstat nefunkční odkazy, ty ovšem můžete ze seznamu vymazat.