Последние излеченные от баннеров/вирусов/троянов компьютеры моих клиентов сподобили меня на эту статью. Если ваш/не ваш компьютер заразился и вы его вылечили – сделайте еще одно действие: проверьте содержимое файла hosts, иначе неприятности могут аукнуться потом гораздо хуже.
Приведу пару недавних примеров из моей личной медицинской практики:
Случай первый
Ребенок, неважно какой и чей, подхватил троянчика, не важно как и где. Троянчик успел запуститься, после чего – погиб смертью храбрых под кувалдой антивируса Касперского. Казалось бы – все хорошо… Но … Через день владельцы компьютера теряют доступ к аккаунтам в одноклассниках, вконтакте, почте на mail.ru и т.п.
Система проверена, вирусов не обнаружено… При входе на вышеуказанные сайты – тоже все нормально, никаких отличий, за исключением того, что они больше не пускали пользователей… открыл файл hosts – и обалдел … Куча переназначений кучи сайтов на один и тот же IP-адрес. Следовательно, все логины и пароли проходили путь через сервер злоумышленника, который передавая их настоящему сайту, возвращал браузеру его ответ…
Случай второй
В браузере при попытке выхода на yandex.ru выводится сообщение, что типа “вы просматривали гей-порно” и теперь нужно отправить SMS на номер такой-то… Причем, от браузера данное сообщение не зависело: и firefix, и Opera и Internet Explorer – все говорят одно и то же: Гей-порно и пипец… Был бы только Internet Explorer – я бы и ухом не повел, ибо написать присоску к эксплореру (BHO, то бишь) может и обладающий интеллектом ребенок. Однако одинаковая картина во всех браузерах на компьютере – это уже не присоска, это из разряда “Бери выше” (ну или ниже, кто как привык :)). В общем – открываю hosts и вижу кучу переназначений, но уже не на сторонний сервер, а на адрес 127.0.0.1, то есть на этот самый компьютер… Это означало, что на компьютере работает вражеский HTTP-сервер, который был пропущен антивирусом NOD32… Вскрытие показало троянчик…
Резюме
Проверяйте файл hosts после любого заражения. Это убережет вас от дальнейших проблем. По-хорошему, в нем должна быть только одна запись: “127.0.0.1 localhost”. Хорошо бы поставить какую-либо программулину, следящую за его изменением, благо таких прог должно быть навалом. Например мой любимый Agnitum Outpost Firewall остро реагирует на его изменение…
Справка
Hosts — текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера. (Спасибо, Wikipedia !!!)
В операционных системах Windows начиная с Windows 2000 и до наших дней, этот файл живет обычно по адресу C:\windows\system32\drivers\etc\
Файл текстовый. Он не имеет расширения, поэтому блокнотом его нужно открывать вручную. В общем, в инете полно информации, я просто обращаю внимание, что файл очень важен.
Это довольно смешно расказывать unix’оидам. Каким образом в Windows можна изменить содержимое системных файлов? Или все пользователи данной системы сидят исключительно под админом? В общем сами виноваты пользователи и корпорация Microsoft по причине недоделанности своих продуктов.
Даже если пользователь сидит под максимально обрезанными правами, у вирусов есть возможности поднять уровень своих привилегий до админского. Да, в основном это из-за багов Microsoft. Однако зря не злорадствуйте, у unix-систем тоже баги есть.
А у меня такой вопрос:где мне найти хранилище вирусов.Я захожу в прогу AVG 2012,сканирую комп,приводит кол-во вирусов и пишет что все опасности перенесены в хранилище.я задалбался искать ето хранилище.Искал и этот файлC:\windows\system32\drivers\etc\,но не нашёл.