BHO, come funzionano e come eliminarli

Fra i problemi che i tecnici di sicurezza si trovano ad affrontare, i cosiddetti
BHO (Browser Helper Objects) meritano una particolare attenzione. Si tratta
di componenti specificamente ideati per Internet Explorer, nati con lo scopo
di aprire il browser Microsoft a funzionalità messe a disposizione con
applicazioni sviluppate da terze parti.

SpyBot Search&Destroy stesso, ad esempio, utilizza un BHO per interfacciarsi
con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente
pericolose. Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet
Explorer di funzionalità per la gestione di file PDF, le ricerche in
Rete, l’implementazione di funzioni di “desktop search”. Ma gli
oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni
illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti
che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet
Explorer.

La presenza di BHO e barre degli strumenti maligni è evidenziabile ricorrendo
all’uso di tool specifici come BHODemon oppure ad HijackThis
(focalizzare l’attenzione sui gruppi “O2” e “O3”).

La loro identità può essere accertata verificando il relativo
CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale
e racchiuso tra parentesi graffe. Andando a questa
pagina potete usufruire di un ricco database contenente un vasto numero
di CLSID. E’ immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo.

• Pronto per il rilascio il nuovo Ubuntu 7.04
• Google rileva DoubleClick
• Soa, si avvicina l’ora degli standard
• Sommersi sotto 4.700 Petabyte di dati
• Consigli per una buona presentazione
• Verificare la registrazione di un dominio
• Qualche consiglio per migrare a Windows Vista
• PDA e smartphone, come scegliere il giusto modello in azienda?
• Come implementare un sistema di comunicazione integrata