Компания «Доктор Веб» сообщила об участившихся случаях взломов сайтов с целью загрузки на компьютеры пользователей вредоносных программ семейства Trojan.Hosts. Масштабы распространения этой угрозы в начале 2013 года приняли почти эпидемический характер. Пик распространения троянцев Trojan.Hosts пришелся на январь и середину февраля, когда ежесуточно на компьютерах пользователей фиксировалось порядка 9500 случаев заражения. В марте Trojan.Hosts заражают около 8000 компьютеров в сутки.
Для взлома сайтов злоумышленники используют протокол FTP, подключаясь к ресурсам с использованием похищенных ранее логинов и паролей. Затем на взломанный сайт загружается специальный командный интерпретатор (шелл), с использованием которого изменяется файл.htacess, а на сайте размещается вредоносный скрипт.
В результате, при заходе на зараженный сайт скрипт выдает посетителю веб-страницу, содержащую ссылки на различные вредоносные приложения. В частности, таким образом в последнее время начали широко распространяться троянцы семейства Trojan.Hosts.
Основное предназначение вредоносных программ семейства Trojan.Hosts - модификация файла hosts, расположенного в системной папке Windows и отвечающего за трансляцию сетевых адресов сайтов. В результате вредоносных действий при попытке перейти на один из популярных интернет-ресурсов пользователь зараженного компьютера перенаправляется на принадлежащую злоумышленникам веб-страницу.После ввода в браузере необходимый сайт, предположим Google.com, браузер последовательно (согласно приоритету) ищет сопоставление этого доменного имени IP-шнику (потому что именно с IP адресами работают сетевые устройства).
а) проверяется указанный сайт в hosts-файле, если он находит сопоставление (предположим в hosts-файле прописано 1.1.1.1 Google.com) то соответственно вам откроется содержимое IP - 1.1.1.1, если указного доменного имени нет, переходит к следующему шагу;
б) проверяется кэш-dns (если вы до этого открывали Google.com, то скорее всего IP этого сайта сохранилось в кэше DNS вашего компьютера/ ноутбука), если там указан IP сайта, то вам открывается страница, если нет приступает к на последней стадии;
в) запрос идет к DNS серверу (он прописывается вручную в настройках сетевого подключения или выдается по DHCP), если в DNS сервере нет указанного сайт, он "спросит" у другого DNS сервера, пока его не найдет (если конечно он вообще существует) и сайт успешно откроется.
Файл hosts находится по пути C:\Windows\System32\Drivers\etc\hosts (если С- системный диск). Открыть его можно обычным блокнотом. Если вы не вносили изменения в файл hosts, то там будет прописано следующее:
Файл hosts в Windows XP:
127.0.0.1 localhost |
Файл hosts в
Windows Vista:
127.0.0.1 localhost |
Файл hosts в
Windows 7:
# 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. |
Файл hosts в Windows 8 # Copyright (c) 1993-2009 Microsoft Corp. # localhost name resolution is handled within DNS itself. |
Как видите вне зависимости от версии файл host не особо отличаются, но вот если над файлом hosts "поработал" вирус туда могут быть добавленны различные сайты и IP-шники. Например:
127.0.0.1 ftp.kаspеrskylab.ru
127.0.0.1 ids.kаspеrsky-labs.com
127.0.0.1 vk.com
127.0.0.1 drweb.com
Подобные добавления в файле не дают вам зайти на указанные сайты.
1.2.3.4 ftp.kаspеrskylab.ru
1.2.3.4 ids.kаspеrsky-labs.com
1.2.3.4 vk.com
1.2.3.4 drweb.com
Подобные добавления в файле при открытии указанных сайтов перенапрявлют вас на другие сайты, возможно зараженные вирусами (IP- 1.2.3.4- являются вымышленными).
Если вы обноружили, что файл-hosts изменен, его необходимо исправить. В Windows XP файл просто открывается блокноте, вносятся необходимые изменения и сохраняется (необходимо заходить под администратором). На других же версиях (Windows Vista, 7, 8) необходимо дать права на изменение файла. Для этого открываем папку, в которой находится hosts C:\Windows\System32\Drivers\etc (если диск С системный). Нажмите правой кнопкой мыши на hosts и выберете "Свойства".
Выбираете вкладку "Безопасность" , затем выбираете пользователя под которым работаете на компьютере/ ноутбуке (в данном примере это сайт) и нажимаете кнопку "Изменить" . Откроется окно "Разрешения для группы "hosts"" , снова выбираете пользователя и назначаете полные права на файл, нажимаем "ОК", в окне "Свойства: hosts", тоже "ОК" .
После этого открываете hosts Блокнотом и возвращаете файл к исходному состоянию, по окончании сохраняете изменения.
Немногие пользователи, работающие с «семеркой» и занимающиеся серфингом в сети Интернет, догадываются об истинном значении файла HOSTS (Windows 7). Содержание его будет показано несколько позже, а пока немного остановимся на теории.
Вообще, если кто обращал внимание, сам файл располагается в директории etc, если последовательно перейти по дереву от папки Windows, через System32 к каталогу drivers на системном диске. Не все, правда, заходят в такие дебри системы, по большому счету, это и не нужно. С другой стороны, если обратить внимание, сам объект расширения не имеет, хотя, по сути, и является обычным текстовым документом.
Но давайте поближе рассмотрим Windows 7. Содержание его таково, что именно этот объект отвечает в системе за взаимосвязь между именами хостов (сайтов, узлов и т. д.) и определение их IP-адресов для обеспечения конечному пользователю доступа к ресурсу. Грубо говоря, нам не нужно в браузере прописывать комбинации, состоящие из цифр, а можно указывать только названия ресурсов.
И еще одно небольшое уточнение насчет файла HOSTS (Windows 7). Содержание его может меняться. В зависимости от того, какие именно изменения были сделаны, это может помочь заблокировать определенные сайты, ускорить доступ к некоторым ресурсам, а может, напротив, сыграть и злую шутку, перенаправляя пользователя на сомнительные сайты. Впрочем, сначала посмотрим на оригинальный файл.
Итак, для начала попробуем открыть Надо сказать, что если использовать стандартный метод двойного клика, ничего не получится, ведь, как было сказано выше, у этого объекта нет расширения. К тому же файл может быть скрыт, поэтому следует сначала в меню вида выбрать отображение скрытых объектов. Зато система предложит несколько приложений для открытия. Выбираем самое простое - стандартный "Блокнот" и смотрим на содержание файла HOSTS (Windows 7). Перед нами что-то непонятное: описательный текст, какие-то примеры и строка с указанием локального IP (# 127.0.0.1 localhost). Так и должно быть.
Внимание! Ниже строки с указанием зарезервированного локального адреса не должно быть вообще ничего, если, конечно, пользователь не хочет, чтобы какой-то ресурс был заблокирован!
Вообще, все, что находится выше localhost, относится к разрешенным ресурсам. Все что ниже - к блокируемым. Нетрудно догадаться, что многие вирусы, в частности программы, распространяющие спам или рекламу (Malware, Adware и т. д.) самостоятельно редактируют содержимое этого файла. Вот и получается, что при запросе одного ресурса пользователь получает редирект (перенаправление) совершенно на другой.
Оригинальный файл мы рассмотрели. Теперь разберем измененное содержание. Для исправления можно взять содержимое «чистого» файла для «семерки» с другого компьютера или из Интернета, скопировать его, потом вставить в оригинал и сохранить.
Но тут есть одна проблема. Дело в том, что иногда после удаления всего ненужного сохранить файл, как оригинал, не получается (система просто не дает этого сделать).
Как поступить в данном случае? Сначала удаляем оригинал полностью (Shift + Del), минуя "Корзину". Затем используем правый клик на пустом пространстве внутри каталога etc и создаем новый файл с аналогичным названием, но не указываем расширение. Теперь вставляем в него необходимое содержимое и сохраняем объект. После этого там же нужно найти файл lmhosts.sam и удалить его, как было указано ранее.
Все, дело сделано. Что в первом, что во втором случае в обязательном порядке требуется перезагрузка системы. Только тогда все будет работать как положено. И, естественно, редактирование должно производиться исключительно с правами админа.
В общем и целом, здесь были приведены очень краткие сведения о файле HOST. Если посмотреть на вопросы блокирования некоторых нежелательных ресурсов или напротив, разрешений на их посещение с ускорением доступа, редактирование должно производиться исключительно вручную и согласно определенным правилам. Тут нужно помнить, что ключевую роль разделителя играет именно строка с указание зарезервированного локального IP. Ну а дальше, как говорится, дело техники. Кстати, вышеописанная методика поможет и в том случае, если содержимое объекта было изменено вследствие воздействия вирусных программ.
Здравствуйте, дорогие наши читатели. Ищите правильный файл hosts ? Вы близки к цели! Слишком много по интернет гуляет вирусов, которые используют hosts файл для своих грязных целей. Например, чтобы использовать ваш компьютер для рассылки спама или чтобы заблокировать доступ к сайтам. Мы уже упоминали об этом файле в статье . Тем пользователям, кто не знает, что такое файл HOSTS, сейчас про него расскажем.
Hosts-файл придуман и создан для того, чтобы связать имя удаленного хоста с принадлежащим этому хосту IP-адресу (или адресам). Хост, в свою очередь, — это любой узел, сервер или домен, который работает в режиме «клиент-сервер» и уникально определен в этой среде. Более просто, хост это компьютер, который доступен и находится в сети, и которым можно взаимодействовать. Логика работы файла hosts также проста.
Если Вы набираете в браузере какой-либо адрес сайта и нажимаете кнопку, чтобы зайти на него, ваш браузер проверяет в файле hosts, является ли введенный адрес localhost , то есть собственным именем компьютера, которое у всех компьютеров одинаковое и пимеет адрес 127.0.0.1 . Если данный адрес, введенный в строку браузера не является локальным, то браузер ищет запрашиваемый адрес сайта или хоста в файлике hosts дальше. И тут возможны несколько вариантов событий:
Надеемся, объяснили понятно . Перейдем к следующей главе и узнаем, где находится hosts файл на вашем компьютере.
Как найти файл hosts? Во всех популярных поколениях операционной системы Windows есть файл host. Популярные системы от Microsoft — это Windows XP, Windows 7 и Windows 8. Где находится файл hosts в этих операционных системах? Находится файлик в системной папке Windows, а сам путь хранения файла отличается, в зависимости от версии ОС. Чтобы его найти, сначала нужно найти системную папку вашей Виндоус. Обычно, она находится на диске «С», но может так оказаться, что системная папка будет располагаться и на другом логическом диске. Нашли? Теперь, в зависимости от поколения ОС, нужно найти файл hosts. В Windows 7, Windows XP и 2000, а также Windows Vista. Путь к файлу hosts следующий:
На всякий случай, для тех, кто никак не может перейти на современную ОС, и работает в системах Windows 95, Window 98 или Window ME путь будет еще короче. Файл лежит просто в папке Windows. Все. Теперь Вы знаете, где лежит файл hosts. Переходим к следующей главе нашей публикации, и выясним, как должен выглядеть файл hosts, и как как сделать его восстановление в случае необходимости.
После того, как Вы нашли файлик, его нужно открыть и проверить содержимое, и в случае обнаружения в нем нехороших записей, почистить и сохранить. Некоторое пользователи испытывают затруднения, поскольку редактирование файла заблокировано. Во-первых, файл hosts нельзя сразу открыть, поскольку он не имеет расширения. Чтобы открыть и изменить файл hosts, нужно кликнуть по нему правой клавишей мыши, выбрать пункт «Открыть с помощью», и уже в появившемся окошке найти блокнот, открыв им файл.
Во-вторых, с сохранением уже исправленного файла могут также возникнуть проблемы, так как он может быть с атрибутом «Только для чтения». Эта неприятность может возникнуть, если Вы работаете в Windows от пользователя, не имеющего права администратора или же какой-нибудь вирус решил так пошутить. Если файл hosts не сохраняется, сначала просто попытайтесь снять галочку с атрибута «Только для чтения», — правой кнопкой мыши по файлу hosts, зайти в пункт «Свойства». Если не получиться, проверьте права учетной записи.
В Windows 7 можно открыть файл hosts и не меняя учетку. Для этого запускаем блокнот от администратора, как показано на картинке.
Идем в каталог, в котором лежит файл. Выбираем и открываем его.
Как видите изменить и почистить файл HOSTS не сложно, но прежде, давайте определимся, как наш файл должен выглядеть.
Обычный, не тронутый вирусом или еще кем-нибудь или чем-нибудь файл hosts выглядит просто. Содержимое файла hosts начинается с длинного комментария Microsoft:
# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a ‘#’ symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host
Это комментарий рассказывает то, что поясняли в начале статьи. Собственно отсутствие данного комментария уже должно насторожить, поскольку это является доказательством того, что файл hosts был изменен. После этого большого комментария должна быть строка с локальным адресом вашего компьютера, мы уже об этом писали выше. Правда, в зависимости от операционной системы, конец файла выглядит чуть по-разному. Для Windows 7 все закоментировано:
# localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
Для Windows Vista:
127.0.0.1 localhost::1 localhost
И для Windows XP:
Приведем пример , как выглядит файл hosts после заражения компьютера вирусом. Кстати, иногда и обычные программы вписывают необходимые им параметры в файлик. Но обычно, если в это конечно зловред. Если после открытия файла Вы видите примерно следующее, то стоит задуматься.
Вирусы пошли хитрые, поэтому прячут добавленные строки ниже:
Адреса вашего файла конечно могут отличаться. Если сомневаетесь или браузер не заходит на какой-либо сайт, удаляйте все лишние строки, оставив только localhost. Напоследок, дадим один маленький совет. Файл hosts можно исправить с помощью бесплатной антивирусной программы от DrWeb — CureIT. При запуске, она автоматически проверяет его на наличие лишних записей.
Добрый день. Как-то давно я писал статью о том, в новых операционных системах. В тот момент я как-то не думал о том, что необходимо бы еще написать статью об обратном — как его восстановить до «заводского состояния». Все дело в том, что некоторые «дружелюбные программы»(конечно же, это вирусы), могут изменить его сами и добавить какой-нибудь полезный нам сайт, скажем вконтакте, яндекс, гугл или еще что-нибудь… И после этого мы получаем сообщение о том, что данный сайт не доступен в данный момент. Конечно же, это самое элементарное, проверить файл хостс на наличии лишних записей, но далеко не каждый новичок догадается об этом. Вот для таких людей и будет написана эта небольшая инструкция.
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost