Компьютерные вирусы » Файл Hosts


8 мая 2009 от Menel
В настоящее время, используя файл HOSTS, вредоносное ПО пытается блокировать различные сайты, чаще всего страницы известных антивирусов. Благодаря такой "блокировке", штатный антивирус не может получить обновления своих антивирусных баз.

Цитата:
Файл HOSTS используется в Windows для преобразования символьных имен доменов (например, google.com) в соответствующие им IP-адреса (64.233.167.99) и наоборот (точно такие же задачи в сетях TCP/IP выполняет и DNS - Domain Name System - система доменных имен). То есть каждый раз, когда вы вводите в адресную строку браузера название сайта, ваш компьютер, прежде чем с ним соединится, должен преобразовать это "буквенное" название в соответствующие ему числа.


Отсюда следует, что один из пунктов лечения машины от вирусов – это проверка содержимого файла HOSTS

По умолчанию файл HOSTS находится:

  • Система Windows 95/98/ME папка WINDOWS\hosts

  • Система Windows NT/2000 папка WINNT\system32\drivers\etc\hosts

  • Система Windows XP/2003/Vista папка WINDOWS\system32\drivers\etc\hosts


В Windows NT/2000/XP/2003 это местоположение можно изменить с помощью следующего ключа реестра:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath"="%SystemRoot%\System32\drivers\etc"

Файл HOSTS не имеет расширения и является обычным текстовым файлом, поэтому для его редактирования достаточно стандартного Блокнота.

Стандартное содержимое файла выглядит так:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Обратите внимание, что 127.0.0.1 - это адрес Вашего компьютера. А теперь взгляните на работу вируса, который, используя файл HOSTS , заблокировал обновление антивируса Касперского.

127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com

То есть все попытки попасть на эти адреса будут заканчиваться ошибкой соединения и, естественно, обновления антивирусных баз получены не будут! Понимаем и то, что такого в HOSTS не должно быть, поэтому удаляем в файле эти строки и пересохраняем файл.

Контролировать содержимое файла можно и с помощью моей любимой smile AVZ (Антивирусная утилита Зайцева) kiss. В меню "Сервис" существует инструмент "Менеджер файла HOSTS", где удобно удалять "вражьи" строчки

ss_08_05_2009_200411.gif (13.61 Kb)



Кстати, таким простым способом можно запретить самому себе или юным домочадцам biggrin "просиживать время" на каких либо сайтах. Достаточно прописать строку в файле - 127.0.0.1 адрес_сайта.

А от слишком "умных" вирусов рекомендую простую и ручную защиту файла HOSTS. Чтобы избежать несанкционированного редактирования файла, обязательно поставьте на свой файл HOSTS атрибут "Только чтения (read only)".

Держите Ваши файлы в чистоте!