BHO, come funzionano e come eliminarli

di
Vincenzo Zaglio
-

I Browser Helper Objects sono componenti per aprire Internet Explorer a tool di terze parti. Ma possono essere usati per veicolare malware.

Fra i problemi che i tecnici di sicurezza si trovano ad affrontare, i cosiddetti
BHO (Browser Helper Objects) meritano una particolare attenzione. Si tratta
di componenti specificamente ideati per Internet Explorer, nati con lo scopo
di aprire il browser Microsoft a funzionalità messe a disposizione con
applicazioni sviluppate da terze parti.

SpyBot Search&Destroy stesso, ad esempio, utilizza un BHO per interfacciarsi
con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente
pericolose. Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet
Explorer di funzionalità per la gestione di file PDF, le ricerche in
Rete, l’implementazione di funzioni di “desktop search”. Ma gli
oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni
illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti
che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet
Explorer.

La presenza di BHO e barre degli strumenti maligni è evidenziabile ricorrendo
all’uso di tool specifici come BHODemon oppure ad HijackThis
(focalizzare l’attenzione sui gruppi “O2” e “O3”).

La loro identità può essere accertata verificando il relativo
CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale
e racchiuso tra parentesi graffe. Andando a questa
pagina potete usufruire di un ricco database contenente un vasto numero
di CLSID. E’ immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome