Fra i problemi che i tecnici di sicurezza si trovano ad affrontare, i cosiddetti BHO (Browser Helper Objects) meritano una particolare attenzione. Si tratta di componenti specificamente ideati per Internet Explorer, nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti.
SpyBot Search&Destroy stesso, ad esempio, utilizza un BHO per interfacciarsi con Internet Explorer in modo da riconoscere e bloccare pagine potenzialmente pericolose. Adobe Acrobat e Google ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità per la gestione di file PDF, le ricerche in Rete, l'implementazione di funzioni di “desktop search”. Ma gli oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet Explorer.
La presenza di BHO e barre degli strumenti maligni è evidenziabile ricorrendo all'uso di tool specifici come BHODemon oppure ad HijackThis (focalizzare l'attenzione sui gruppi “O2” e “O3”).
La loro identità può essere accertata verificando il relativo CLSID. Si tratta di un codice alfanumerico a 128 bit, scritto in esadecimale e racchiuso tra parentesi graffe. Andando a questa pagina potete usufruire di un ricco database contenente un vasto numero di CLSID. E' immediato verificare, ad esempio, come {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} sia un BHO legato ad Adobe Acrobat, quindi assolutamente legittimo.
