Hijacking

Nel posizionamento nei motori di ricerca (MDR), il termine hijacking viene usato quando un sito, sfruttando un Bug di Google usando il redirect lato server 302, riesce a sostituirsi al sito "vittima" nei risultati del motore.

Browser Hijacking: 'rapire' il browser

Navigare attraverso le maglie della grande rete per molte persone è diventato un vero incubo da quando in molti hanno deciso di lucrare in modo spregiudicato attraverso la pubblicità online.

Chi non ha mai navigato su siti che all'apertura della pagina principale provvedono a far comparire decine di finestre pop-up contenenti messaggi pubblicitari? E' chiaro che un sito del genere è più interessato a guadagnare attraverso gli sponsor piuttosto che mettere in risalto il contenuto delle proprie pagine.

Nel tempo il fenomeno ha assunto connotazioni sempre più esasperate. Se l'apertura di qualche finestra pop-up da parte di certi siti può essere in generale tollerata ed eventualmente evitata attraverso l'uso di appositi programmi, quello a cui si sta assistendo oggi è piuttosto il tentativo di portare l'utente a visitare determinate pagine indipendentemente dalla sua volontà e dalle sue abitudini in rete. Questo può essere fatto solo assumendo direttamente il controllo della macchina usata dall'utente.

Questa tecnica, chiamata Browser Hijacking (letteralmente dirottamento del browser), permette ai dirottatori di eseguire sul nostro computer una serie di modifiche tali da garantirsi la nostra visita alle loro pagine al solo scopo di incrementare in modo artificioso il numero di accessi e di click diretti al sito e conseguentemente incrementare i guadagni dovuti alle inserzioni pubblicitarie.
Queste azioni possono limitarsi alla semplice modifica della pagina iniziale del browser, all'aggiunta automatica di siti tra i preferiti fino a radicali modifiche al nostro browser di cui si parlerà diffusamente in seguito.

Date le loro molteplici capacità i Browser Hijacker sono spesso classificati come Spyware, a causa del controllo che possono avere sui siti su cui navighiamo, o come Trojan, a causa delle tecniche usate per installarsi sui nostri sistemi.

Modifica della pagina iniziale
Uno dei primi sintomi che ci rivela un dirottamento è la modifica della pagina iniziale del browser che viene sostituita con quella del sito dirottatore. Nella maggior parte dei casi non è sufficiente reimpostare manualmente la pagina corretta poiché attraverso una serie di tecniche la nostra modifica verrà inibita o successivamente annullata.
Alcuni dei metodi atti ad impedirci il ripristino della home page prevedono:

modifica del registro di sistema in modo da reimpostare la pagina ad ogni nuovo avvio del browser.
installazione di un programma che modifica automaticamente le impostazioni ad ogni avvio del computer.
eliminazione delle Opzioni Internet dal menu Strumenti di IE e dal pannello di controllo o disabilitazione di alcune voci delle stesse opzioni in modo da impedire all'utente una modifica delle impostazioni.
Tecniche del tutto simili vengono usate per modificare la pagina di ricerca: ogni volta che verrà per errore digitato un sito inesistente verremo indirizzati verso il sito dirottatore.

Browser Helper Object's
Altro aspetto quanto mai fastidioso è la comparsa improvvisa e inaspettata di finestre pop-up durante la normale navigazione. In questo caso non è il particolare sito visitato ad aprire le finestre ma direttamente il nostro browser di cui l'Hijacker ha preso pieno possesso. Ci può quindi capitare di veder comparire messaggi pubblicitari durante la navigazioni su siti come google.it o html.it con i quali non hanno nulla a che fare.

In questo caso il dirottamento avviene prevalentemente mediante oggetti implementati da Internet Explorer chiamati Browser Helper Objects o più semplicemente BHO's. Questi oggetti altro non sono che plugin sotto forma di DLL che consentono a IE di espandere le proprie funzioni attraverso strumenti di terze parti. In molti casi i BOH's possono essere decisamente utili (la Google Toolbar è uno di questi) ma in tanti altri vengono usati a danno dell'utente e della sua privacy sfruttando il fatto che consentono un completo controllo del browser, dei siti digitati nella barra degli indirizzi e degli eventi generati dall'interazione dell'utente con IE.

Un dirottamento tramite un BHO, oltre ad intraprendere azioni come la comparsa di pop-up, può quindi anche monitorare la nostra attività al fine di personalizzare il messaggio pubblicitario o collezionare gli indirizzi dei siti visitati a fine statistico. Il fatto inoltre che questo genere di oggetto non possieda necessariamente una interfaccia grafica sotto forma di toolbar rende in generale la sua presenza difficile da identificare senza appositi strumenti.

Una ulteriore aggravante risiede nel fatto che nella maggior parte dei casi questi BOH's dirottatori sono programmati decisamente male e ciò può causare malfunzionamenti del sistema, rallentamenti della navigazione o nel caso estremo veri e propri blocchi della macchina. Oltre alla nostra privacy quindi è spesso minata l'intera stabilità del sistema.

Il file HOSTS
Altra tecnica usata per dirottarci su siti da noi non espressamente selezionati è la modifica del file HOSTS. Questo file presente nella cartella %SystemRoot%\system32\drivers\etc (dove %SystemRoot% rappresenta la cartella in cui abbiamo installato windows) permette l'implementazione di un piccolo DNS statico sul nostri PC tramite un elenco di associazioni nomi-indirizzi IP.
Ogni volta che introduciamo il nome di un sito nella barra degli indirizzi per prima cosa il browser cercherà tale nome nel file HOSTS per ricavarne l'IP corrispondente. Se questo non viene trovato nel file allora la richiesta verrà fatta ad un server DNS esterno. Quel che più conta notare è che il file HOSTS ha priorità di ricerca su di un server esterno.

Se si apre il file incriminato con il Blocco Note su un computer pulito l'unica voce che troveremo, oltre ai commenti individuati dal simbolo # ad inizio riga, è:

127.0.0.1 localhost
Se sono presenti altre voci non espressamente aggiunte da noi potremo tranquillamente eliminarle.

xxx.yyy.zzz.www www.html.it
il browser hijacker può far si che ogni volta che cerchiamo di navigare su www.html.it in realtà veniamo rediretti sul sito presente all'indirizzo IP xxx.yyy.zzz.www che ovviamente sarà quello del sito del dirottatore o di uno dei suoi affiliati.

Metodi di installazione
Analizzate le principali tecniche adottate da questo tipo di malware per piegare la nostra navigazione al suo volere non ci resta che descrivere i metodi usati per impadronirsi del nostro sistema.

Purtroppo la prima causa che permette la loro intrusione è la disattenzione e la superficialità dell'utente troppo abituato a cliccare e confermare, senza il minimo criterio, il download di programmi e controlli ActiveX durante la navigazione.
La maggior parte degli oggetti dannosi come Hijacker e Dialer entra nel sistema sotto questa forma. Per questo motivo al fine di prevenire possibili disattenzioni è consigliabile disabilitare completamente lo scaricamento di ActiveX, anche se dotati di firma elettronica, nella sezione protezione delle Opzioni Internet di Internet Explorer.
Nei rari casi in cui il download del controllo ActiveX sia necessario sarà possibile inserire il sito in questione tra i Siti Attendibili. In questo articolo sono indicate alcune impostazioni per rendere più sicuro IE: http://sicurezza.html.it/articoli.asp?idcatarticoli=14&idarticoli=16

Le vulnerabilità dei browser e del sistema operativo costituiscono un altro metodo efficace che permette al malware di installarsi all'insaputa dell'ignaro utente colpevole del solo fatto di aver visitato un sito non proprio raccomandabile. Le vulnerabilità sfruttate sono quelle che permettono il download e l'esecuzione di un programma senza richiedere la conferma al navigatore. Risulta palese quindi l'importanza di mantenere sempre aggiornato il sistema tramite la comoda funzione di windows update.
Non deve sorprendere inoltre che, essendo Internet Explorer il browser più usato e che spesso gravi sono state alcune sue vulnerabilità, l'attenzione dei programmatori di Hijacker sia rivolta prevalentemente verso questo particolare strumento di navigazione.

Infine bisogna nominare quella particolare categoria di software gratuito che adotta la cosiddetta formula ADware. In questo caso il programma viene concesso in licenza gratuita alla condizione di installare moduli aggiuntivi di terze parti che facciano comparire banner pubblicitari. In alcuni casi questi moduli possono installare anche Browser Helper Object per monitorare la nostra navigazione o modificare le impostazioni del browser.

Come eliminarli
Nelle sezioni precedenti abbiamo analizzato l'operato degli Hijacker e le tecniche usate per installarsi sul nostro computer. Ora ci occuperemo di indicare alcuni metodi e programmi per verificare la loro presenza ed eventualmente eliminarli.

Molti di questi moduli dannosi sono classificati come Trojan dalla maggior parte dei produttori di antivirus. L'uso di un antivirus sempre aggiornato permette un controllo in tempo reale sul tentativo di accesso al nostro sistema da parte di questi elementi e sulla presenza nelle pagine su cui navighiamo di eventuali script pericolosi che potrebbero permettere, a nostra insaputa, l'installazione di programmi o la modifica delle impostazioni del browser.

In molti casi l'antivirus non è affatto sufficiente non essendo un strumento espressamente dedicato a scovare questo genere di malware.
Ad-aware 6 e SpyBot Search & Destroy 1.3 sono due tra i migliori programmi antispyware gratuiti disponibili. Entrambi possiedono una funzione di aggiornamento online. Attraverso periodiche scansioni con questi due programmi è possibile scovare ed eliminare la maggior parte dei Browser Hijacker.
Una guida all'uso di Ad-aware è presente nel seguente articolo: http://sicurezza.html.it/articoli.asp?idcatarticoli=9&idarticoli=20

Molti navigatori della rete hanno fatto conoscenza con un Hijacker particolarmente ostico da eliminare che risulta far sempre riferimento a siti affiliati a coolwebsearch.com e che spesso viene indicato come CWS Trojan. Viste le numerosissime varianti di tale trojan Merijn Software ha creato CWShredder un semplice programma gratuito indispensabile per la sua completa eliminazione.

Sempre Merijn Software fornisce HijackThis uno strumento gratuito che è diventato un vero e proprio coltellino svizzero per l'individuazione di voci di registro ed elementi imputabili alla presenza di Hijacker. Il programma ricerca sul computer tutte le voci che potenzialmente possono essere l'obiettivo di programmi dannosi come BOH's, toolbar, ActiveX, programmi sospetti caricati all'avvio o pagine iniziali o di ricerca redirezionate. E' poi compito dell'utente decidere se gli elementi individuati sono leciti o modificati da qualche programma esterno. Per questo motivo le operazione da eseguire nei confronti di tali oggetti sono in genere suggerite nei vari forum specializzati in sicurezza da utenti esperti in materia.
Un semplice tutorial per l'interpretazione delle voci di HijackThis può essere reperita sul sito del produttore e una lista dei BHO's con la relativa origine e pericolosità può essere fornita dal programma BHOList.

Browser Hijacking

The Problem

There is a despicable trend that is becoming more and more common wherein the browser settings of web surfers are being hijacked forcibly by malicious web sites and software which modifies your default start and search pages.

Sometimes internet shortcuts will be added to your favorites folder without asking you. The purpose of this is force you to visit a web site of the hijacker's choice so that they artificially can inflate their web site's traffic for higher advertising revenues.

In some cases, these changes are reversible simply by going into internet options and switching them back. Not always, however. Sometimes it's necessary to edit the windows registry (gasp!) to undo the changes made. Sometimes there is even a combination of registry setting and files clandestinely placed on your hard drive that redo your settings every time you reboot the computer.

No matter how often you change your settings back, they are changed again the next time you restart. There have even been cases where internet options have been removed from the tools menu by registry hacking to prevent you from controlling your own computer!

Even AOL has become a browser hijacker by placing their web site free.aol.com in Internet Explorer's trusted sites security zone, thereby bypassing the most frequently used security settings. This occurs after installing their AOL software, AOL Instant Messenger, Netscape 6.x and ICQ2001b has reportedly done this. AOL then exploits this by downloading ActiveX components to your computer without your consent. The CWS trojan also does this.

Hijack Removal

Any of the products below will remove most hijackers completely, unless it is one which has just started spreading.

Spybot S&D [recommended]
Ad-aware
SpySweeper

If you have a hijack that is not fixed by any of these products, you may use these solutions below that I have gathered after helping to fix these same problems countless times through email and at the forums. Read on...

Please read the disclaimer below before doing anything described here. By following any of these instructions, you agree to be bound by the disclaimer. If you do not agree, do not follow these instructions. Also note that with Windows NT/2K/XP you likely will need to be logged in as an administrator for much of this. Go ahead and do that now.

The situation: Your browser now has a new start page and a new search page. Every time your browser loads a page that doesn't exist, you end up at some strange site, probably filled with popup ads.

You go to Tools > Internet Options to fix this, only to find that option grayed out. You open the control panel, only to find Internet Options missing from there too. You try to open regedit to start hacking away at the registry, but you are given the message that "your administrator has not given you that privilege".

Some scumbag webmaster has paid a scumbag script kiddie to truly mess up your browser settings and has made it next to impossible for you to change it back.

Notice that I said "next to impossible"...........

So, what do you do here?

Skip any step that deals with a problem that doesn't effect you

Assuming that none of the spyware removal programs listed above helps you, the very first thing you need to do is download and run HijackThis. Put a check mark next to every search and start page setting it lists which you haven't put there yourself and choose fix. Do the same for any hosts file entries. If it lists anything as O5, O6, or O7*, fix those as well. Please ask for advice at the forums before using HijackThis to change anything else.

*Note: Spybot S&D, Start Page Guard, Settings Sentry, and similar programs may provide options to lock settings against unauthorized changes. If you have these options enabled, HijackThis will detect that as a restrictions hijack. Disable those options before scanning with HijackThis.
Second, you have to put Internet Options back into the control panel. Do a file search and look for a file named "control.ini". Open it in Notepad. You may see something like this:

[don't load]
inetcpl.cpl=yes

Delete the "inetcpl.cpl=yes" line under "[don't load]". Save and close the file, then try the control panel again. If it's still not there, restart your machine and it should be there.

For Windows 2000 and XP, you will need to edit the registry to do this. Go to the start menu > RUN command > type REGEDIT and press enter. Navigate through the registry keys until you get to HKEY_CURRENT_USER\Control Panel\don't load\. Look and see if inetcpl.cpl is listed. If it is, delete the entry for it and log off.

See the list at the bottom of this page to identify other entries. Thanks to Corné de Leeuw for this information.
Run a search on your hard drive for any files ending with *.hta or *.js. If you find any, open them in notepad or some other text editor and look for the URLs that you have been hijacked to. Any file with those URLs, delete them. Also delete all *.tmp files on your drive; some of them contain malicious code (for e.g. browser hijacks or malware (re)installations). Besides, deleting *.tmp files doesn't hurt, unlike dll's which are also used sometimes for this purpose. (Thanks to cexx.org for the additional info in this step).
HijackThis will list any BHO installed on your computer. Check the BHOs listed against the list of all known BHOs. If you find one listed as some sort of spyware/malware/hijackware, run HijackThis again and find that BHO in the list. Check its box and have HT fix it.

If you find a BHO that is not included in the list, please make a post in the Browser Hijackings section of our support forums with the HijackThis log pasted in along with an explanation of your problem. Please wait for replies before deleting this BHO, as it may be a new one which I can have added to various spyware/malware cleaning programs. It may also be an innocent file that is not causing your problem, so please wait for advice before deleting it.
Now you need to see if there is a startup entry for your hijacker file. The next time you reboot, the hijack might come right back. The reason for this would be an entry in the run section of the registry.

Look in HijackThis for 04 startup items. Check the entries listed against Pacman's List. Items listed as virus, malware, spyware, or something else that is undesirable, put a checkmark next to it and "fix" it.

Again, it will be absolutely necessary for you to close all open Internet Explorer windows before any of these changes will take effect. That includes this window. Some changes may even require a log off or even a reboot before they have any effect.

Browser Hijacking

Hijack Removal

Related Links: