Пара случаев из жизни файла hosts

Последние излеченные от баннеров/вирусов/троянов компьютеры моих клиентов сподобили меня на эту статью. Если ваш/не ваш компьютер заразился и вы его вылечили – сделайте еще одно действие: проверьте содержимое файла hosts, иначе неприятности могут аукнуться потом гораздо хуже.

Приведу пару недавних примеров из моей личной медицинской практики:

Случай первый

Ребенок, неважно какой и чей, подхватил троянчика, не важно как и где. Троянчик успел запуститься, после чего – погиб смертью храбрых под кувалдой антивируса Касперского. Казалось бы – все хорошо… Но … Через день владельцы компьютера теряют доступ к аккаунтам в одноклассниках, вконтакте, почте на mail.ru и т.п.

Система проверена, вирусов не обнаружено… При входе на вышеуказанные сайты – тоже все нормально, никаких отличий, за исключением того, что они больше не пускали пользователей… открыл файл hosts – и обалдел … Куча переназначений кучи сайтов на один и тот же IP-адрес. Следовательно, все логины и пароли проходили путь через сервер злоумышленника, который передавая их настоящему сайту, возвращал браузеру его ответ…

Случай второй

В браузере при попытке выхода на yandex.ru выводится сообщение, что типа “вы просматривали гей-порно” и теперь нужно отправить SMS на номер такой-то… Причем, от браузера данное сообщение не зависело: и firefix, и Opera и Internet Explorer – все говорят одно и то же: Гей-порно и пипец… Был бы только Internet Explorer – я бы и ухом не повел, ибо написать присоску к эксплореру (BHO, то бишь) может и обладающий интеллектом ребенок. Однако одинаковая картина во всех браузерах на компьютере – это уже не присоска, это из разряда “Бери выше” (ну или ниже, кто как привык :)). В общем – открываю hosts и вижу кучу переназначений, но уже не на сторонний сервер, а на адрес 127.0.0.1, то есть на этот самый компьютер… Это означало, что на компьютере работает вражеский HTTP-сервер, который был пропущен антивирусом NOD32… Вскрытие показало троянчик…

Резюме

Проверяйте файл hosts после любого заражения. Это убережет вас от дальнейших проблем. По-хорошему, в нем должна быть только одна запись: “127.0.0.1   localhost”. Хорошо бы поставить какую-либо программулину, следящую за его изменением, благо таких прог должно быть навалом. Например мой любимый Agnitum Outpost Firewall остро реагирует на его изменение…

Справка

Hosts — текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера. (Спасибо, Wikipedia !!!)

В операционных системах Windows начиная с Windows 2000 и до наших дней, этот файл живет обычно по адресу C:\windows\system32\drivers\etc\

Файл текстовый. Он не имеет расширения, поэтому блокнотом его нужно открывать вручную. В общем, в инете полно информации, я просто обращаю внимание, что файл очень важен.

Поделиться с друзьями:
  • Добавить ВКонтакте заметку об этой странице
  • Одноклассники
  • Facebook
  • В закладки Google
  • Мой Мир
  • Twitter
  • LiveJournal
  • Яндекс.Закладки
  • LinkedIn
  • Reddit
  • StumbleUpon
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru

Comments

  1. Это довольно смешно расказывать unix'оидам. Каким образом в Windows можна изменить содержимое системных файлов? Или все пользователи данной системы сидят исключительно под админом? В общем сами виноваты пользователи и корпорация Microsoft по причине недоделанности своих продуктов.

    1. Даже если пользователь сидит под максимально обрезанными правами, у вирусов есть возможности поднять уровень своих привилегий до админского. Да, в основном это из-за багов Microsoft. Однако зря не злорадствуйте, у unix-систем тоже баги есть.

  2. А у меня такой вопрос:где мне найти хранилище вирусов.Я захожу в прогу AVG 2012,сканирую комп,приводит кол-во вирусов и пишет что все опасности перенесены в хранилище.я задалбался искать ето хранилище.Искал и этот файлC:\windows\system32\drivers\etc\,но не нашёл.

Добавить комментарий

Ваш e-mail не будет опубликован.