Загадочный файл Hosts
31 октября 2022
В сегодняшнем выпуске «Антивирусной правды» мы разберем вопрос далеко не новый, однако по-прежнему актуальный. Небольшой опрос наших пользователей подтвердил, что весьма распространенной угрозой, выявляемой антивирусом Dr.Web, является инфицированный файл Hosts. Наверняка многие наши читатели знают или, по крайней мере, слышали об этом файле, который хранится в недрах системных каталогов ОС Windows. А кто-то даже знает, какие опасности таит этот вполне легитимный файл и почему он является лакомым кусочком для злоумышленников. Но очень часто пользователи не подозревают ни о том, ни о другом. И если антивирус вдруг сообщает о найденной угрозе вида DFH.HOSTS.corrupted или Trojan.Hosts (у разных антивирусных вендоров используются разные названия, но суть одна) — лучше знать и понимать, с чем мы имеем дело.
Файл Hosts присутствует не только в Windows, но и в других операционных системах, и везде выполняет одни и те же функции. Когда-то давно, еще на заре становления компьютерных сетей, его содержимое обеспечивало корректную работу сети. Однако в современных ОС пользователи редко взаимодействуют с этим файлом напрямую. Сам файл и его функциональность остались, но его использование уже давно стало необязательным. Поэтому зачастую файл Hosts просто находится внутри ОС и весь период от ее установки и до удаления «проживает» без изменений.
Впрочем, это не всегда так. Файл Hosts может использоваться вредоносным ПО и киберпреступниками для совершения достаточно эффективных сетевых атак. В наших выпусках мы уже упоминали такие понятия как подмена DNS, атака посредника, или «человек посередине», рассказывали о заражениях домашних роутеров. Все это по сути разные способы достижения одного и того же — направить пользователя по ложному адресу, где его будут поджидать злоумышленники. Но существует еще один способ сделать практически все то же самое — при помощи вредоносной модификации файла Hosts.
Чтобы выпуск был интереснее, кратко расскажем, как работает этот файл и для чего он нужен. В компьютерных сетях, работающих по протоколу TCP/IP, в качестве адресов для пересылки блоков с информацией (пакетов) используются IP-адреса. Каждый узел в сети, будь то сервер или клиент, имеет присвоенный ему IP-адрес. Например, сайт drweb.ru доступен по адресу 178.248.232.183. А теперь представьте, что вам нужно запомнить и набрать этот адрес, чтобы посетить сайт. Не слишком удобно, не правда ли? Особенно если учесть количество сайтов, которые мы посещаем каждый день. Поэтому для преобразования сетевых адресов, которые понимает компьютер, в имена, которыми удобно пользоваться человеку, была придумана система доменных имен, она же DNS (англ. Domain Name System). DNS позволяет компьютеру получить IP-адрес по доменному имени и определить, на какой узел нужно направить сетевой запрос. Таким образом, происходит получение соответствия IP адресов доменным именам.
До появления DNS файл Hosts был единственной базой данных, в которой содержалась информация для преобразований имен узлов в сетевые адреса и наоборот. Сейчас же эту задачу выполняют DNS-серверы и соответствующая служба, работающая на локальном компьютере. Например, когда вы в адресной строке браузера набираете привычное имя сайта и нажимаете «ввод», браузер не знает, на какой узел нужно направить ваш запрос. Для получения адреса браузер обращается к специальной службе — DNS-клиенту, которая работает на вашем компьютере. И здесь начинается самое интересное.
Для получения сетевого адреса служба перебирает источники в следующем порядке:
- Файл Hosts.
- Свой собственный кеш
- DNS-сервер, адрес которого прописан в настройках сетевого адаптера.
Как мы видим, файл Hosts предназначен для сопоставления доменных имен IP-адресам. Но важнее то, что файл идет первым в списке, то есть имеет приоритет над кешем службы и обращением к DNS-серверам. Если в файле Hosts отсутствует подходящая запись, то все работает и без него — служба DNS получит IP-адрес из других источников. Именно поэтому многие пользователи и не подозревают о существовании такого файла. Другое дело, если записи в нем все же есть.
Вследствие самого высокого приоритета неправомерная модификация файла Hosts несет серьезную угрозу. Ведь определенная запись, внесенная в файл, заставит любую программу, в том числе браузер, направлять запросы на заданные сетевые адреса, которыми вполне могут быть серверы злоумышленников. Например, для проведения фишинговой атаки киберпреступники могут сделать запись, сопоставляющую легитимное имя сайта с IP-адресом фишингового сайта. Аналогичным образом могут действовать и трояны, целью которых является модификация файла Hosts. Кроме опасностей фишинга, такие действия являются важным подспорьем для злоумышленников при проведении атак «человек посередине». Как мы уже говорили, главное —направить пользователя по ложному пути, а вариантов развития сценария атаки может быть великое множество.
С помощью Hosts также можно вообще заблокировать доступ к любому сайту или сетевому узлу. Для этого определенному доменному имени в качестве сетевого адреса сопоставляется так называемый localhost — локальный адрес компьютера — 127.*.*.*. (как правило, 127.0.0.1). В этом случае при попытке соединиться с указанным узлом по доменному имени компьютер как бы обращается к самому себе. Именно этим способом нелегальные активаторы блокируют программам доступ к серверам активации.
Конечно, у файла Hosts по-прежнему есть прикладное значение. С его помощью можно настроить разрешение имен интернета внутри локальной компьютерной сети. Такой настройкой, как правило, занимаются сетевые администраторы, и рассказ об этом выходит за рамки данной статьи.
Итак, мы выяснили, что модификация файла Hosts может наносить вред безопасности. Как же антивирус защищает пользователя от этой угрозы? Рассмотрим механизмы защиты в контексте ОС семейства Windows, которые применяются в Dr.Web Security Space. Для защиты Hosts используется контроль доступа на уровне превентивной защиты, а также детектирование изменений и лечение файла Сканером Dr.Web. Эти уровни защиты работают независимо друг от друга. По умолчанию превентивная защита блокируют доступ к файлу Hosts, защищая его от изменений, в том числе от модификации пользователем. Если же файл был изменен до установки или во время отключения антивируса, то при проверке Сканер Dr.Web обнаружит инфицированный Hosts и вылечит его. Важно отметить, что лечению подлежат именно так называемые «блокирующие записи» — те, которые блокируют доступ к тому или иному сайту или сетевому узлу в интернете, направляя запросы на localhost.
Высокий уровень контроля, который обеспечивает превентивная защита, сводит возможность модификации файла даже неизвестным трояном практически к нулю. При этом если пользователь исключит файл из проверки превентивной защитой или добавит приложение для модификации файла в доверенные, Сканер Dr.Web все равно будет анализировать и лечить блокирующие записи в файле. Такой подход реализован для комплексной защиты файла и обеспечения безопасности пользователя. Как было замечено выше, самостоятельная модификация файла Hosts обычным пользователем — явление крайне редкое. А вот попытки изменить файл неправомерно — гораздо более распространенная практика. Именно поэтому приоритет отдается надежной защите, нежели свободе действий с загадочным Hosts.
Антивирусная правДА! рекомендует
- Hosts — незаметный, но достаточно важный файл, поэтому если вы не уверены в своих действиях, самостоятельно вносить записи в него не следует. В том числе ориентируясь на инструкции в интернете.
- Для защиты файла от неправомерного доступа используйте комплексное антивирусное ПО. Dr.Web Security Space для Windows надежно защищает все компоненты системы от вредоносного ПО и сетевых атак.
- Если антивирус обнаружил угрозу, связанную с файлом Hosts, значит, одна из программ попыталась модифицировать файл. Выполните лечение файла антивирусом, и файл будет возвращен в исходное состояние.
- Если же вам нужно внести изменения в Hosts с установленным антивирусом Dr.Web, воспользуйтесь этой инструкцией, чтобы добавить файл в исключения. При этом мы категорически не рекомендуем оставлять файл без должного уровня защиты.
#Hosts #адрес_сайта #Интернет #подмена_страниц #терминология
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
SnowMan
12:14:57 2022-11-20
Korney
22:33:58 2022-10-31
deepsmr
17:35:20 2022-10-31
Кстати - почему нет статьи про Win 10 Tweaker?
matt1954
16:49:11 2022-10-31
Alexander
10:52:55 2022-10-31
Вот и файла Hosts туда же... Менять НЕЛЬЗЯ!!! Но если нужно... то вот инструкция... и всё же "категорически не рекомендуем"... Жизнь, однако, продолжается... Но при этом, Dr.Web Security Space всегда должен оставаться в системе... со светлой головой... актуальным... и в постоянной готовности реально защитить "хозяина" от опасных "хотелок"...
Статья интересная. Спасибо.
Геральт
09:49:33 2022-10-31