Бьем врага его же оружием
31 августа 2016
Файл hosts играет важную роль, когда злоумышленники подсовывают нам нужные им страницы сайтов. В частности, манипуляции с ним позволяют скрывать доступ к сайтам антивирусных вендоров.
Для чего вообще нужен файл hosts? Это файл, в который можно помещать записи, сопоставляющие имена интернет-ресурсов с их сетевыми адресами. В частности, это позволяет получать доступ к различным ресурсам без использования внешних сервисов и ускорять загрузку сайтов.
Контроль за изменением содержимого файла hosts осуществляется с помощью Превентивной защиты Dr.Web Security Space.
Но hosts – это обоюдоострое оружие, и в руках опытного пользователя он позволяет запретить доступ к сайтам злоумышленников. Для блокировки доступа к нежелательному ресурсу необходимо лишь добавить в конец файла строку вида "127.0.0.1 URL_блокируемого_ресурса". Суть этого действия состоит в том, что при попытке загрузить блокируемый ресурс система попробует загрузить его с локального компьютера (предопределенный адрес 127.0.0.1), на котором он, естественно, отсутствует. Поэтому нежелательный сайт и не загрузится.
Но модификация файла hosts – это не только борьба с нежелательными ресурсами. Как известно, современные вредоносные файлы зачастую управляются извне.
Чтобы определить IP-адрес пользователя, Black Shades обращается к сайту http://icanhazip.com. В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно открыть файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com
. Если малварь не сумеет соединиться с icanhazip.com, она аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже).
Hosts представляет собой простой текстовый файл, одна строка в котором соответствует одной записи. Классический формат записи:
IP-адрес Символьное_имя_домена # Тут может быть комментарий
Почти во всех операционных системах (кроме Windows 7 и 8, там одни комментарии) первой записью числится:
127.0.0.1 localhost
Это означает, что доменному имени localhost соответствует IP-адрес 127.0.0.1, локальный адрес самой системы.
Внимание! По умолчанию для OS Windows он располагается в %windir%\system32\drivers\etc\hosts. Данный путь злоумышленники могут изменить. Однако вы можете вернуть его к значению по умолчанию самостоятельно. В данном примере для простоты мы предполагаем, что путь к файлу соответствует значению по умолчанию.
Файл можно открыть, нажав Пуск - Выполнить (это же окно выводит комбинация клавиш Win+R), в появившемся окне Запуск программы в поле Открыть вводим notepad %SystemRoot%\system32\drivers\etc\hosts и нажимаем ОК. Также открыть файл можно в любом текстовом редакторе.
Если вы открываете файл вручную, то учтите, что ему может быть присвоен атрибут «Скрытый». Для показа таких файлов необходимо в Свойствах папки включить опцию Показывать скрытые файлы и папки).
Внимание! Зачастую злоумышленники вставляют нужные им записи за пределами видимого окна «Блокнота», используя пустые строки. После открытия файла всегда проверяйте, есть ли справа полоса прокрутки и прокручивайте окно полностью.
Правила редактирования файла hosts
- Каждый элемент должен располагаться в отдельной строке.
- IP-адрес должен начинаться с первой позиции строки, за ним (в этой же строке) должно следовать соответствующее ему имя хоста.
- IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
- Комментарии должны предваряться символом #.
Если комментарии используются в строках соответствия доменных имен, они должны следовать за именем узла и отделяться от него символом #.
Если не удается сохранить файл, то необходимо войти в систему учетной записью администратора или запустить блокнот от имени администратора и редактировать файл.
Сделать это можно двумя способами.
С помощью командной строки (в случае Windows 10), кликнув правой кнопкой мыши по иконке .
Выбираем Командная строка (администратор) и в открывшемся окне пишем (или копируем) строку:
notepad C:\Windows\System32\drivers\etc\hosts
В этом случае обычный блокнот Windows будет запущен с правами администратора и позволит внести изменения в файл hosts.
Вносим изменения и сохраняем файл (Файл → Сохранить).
Открытие текстового редактора с правами администратора вручную.
Переходим в папку, в которой хранится исполняемый файл текстового редактора, к примеру, «Блокнот» (эта часть инструкции также подойдет к другим текстовым редакторам, например Notepad++). Скажем, исполняемый файл «Блокнота» находится в C:\Windows\system32. Ищем (в случае «Блокнота») файл notepad.exe.
Кликаем по файлу правой клавишей мыши и выбираем Запуск от имени администратора.
Выбираем Файл → Открыть. В появившемся окне переходим в папку C:\Windows\System32\drivers\etc. Выбираем в правом нижнем углу Все файлы и открываем hosts.
Вносим необходимые изменения и сохраняем файл.
Внимание! Если после сохранения файла и/или после перезагрузки некоторые сайты продолжают не открываться или открываются не совсем с тем содержимым, которое вы ожидаете, то, возможно, в системе действует активная вредоносная программа, которая с определенной периодичностью проверяет содержимое файла hosts и меняет его.
Чтобы просмотреть статистику обращений к различным ресурсам и выбрать те, которые «достойны» записи в файл hosts, нажмите в меню Агента Dr.Web на значок и выберите имя пользователя.
#Hosts #ИнтернетАнтивирусная правДА! рекомендует
Но есть путь проще!
Если вы хотите блокировать доступ к определенным интернет-ресурсам, используйте Белый и Черный списки Родительского контроля Dr.Web Security Space – в этом случае вы можете настроить правила доступа индивидуально для конкретных пользователей компьютера.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
14:01:57 2018-08-04
vasvet
13:45:41 2018-03-31
alex-diesel
17:04:34 2018-03-17
для чего же тогда нужен антивирус))
Toma
16:32:59 2018-01-25
vadim74dw
21:06:45 2017-09-13
eaglebuk
15:25:25 2017-02-03
Шалтай Александр Болтай
18:43:11 2017-01-12
Пaвeл
08:46:19 2016-12-23
Ruslan
16:16:20 2016-10-12
imi
14:58:45 2016-10-05
Fix
01:54:42 2016-09-05
bob123456
13:24:15 2016-09-03
fed0t
23:42:00 2016-08-31
Неуёмный Обыватель
23:26:59 2016-08-31
В...а
23:04:54 2016-08-31
Неуёмный Обыватель
23:04:10 2016-08-31
Voin sveta
23:03:50 2016-08-31
solec
23:01:35 2016-08-31
Б...а
22:55:52 2016-08-31
kva-kva
22:34:22 2016-08-31
Viktoria
22:07:22 2016-08-31
Mehatronik
21:50:45 2016-08-31
mk.insta
21:30:33 2016-08-31
Andromeda
21:08:23 2016-08-31
Альфа
20:56:51 2016-08-31
Dvakota
20:54:21 2016-08-31
FrEd
20:23:13 2016-08-31
Bigvit
19:54:58 2016-08-31
B0RIS
19:25:35 2016-08-31
krant
18:10:01 2016-08-31
Hazal
17:52:28 2016-08-31
Zulfat
17:50:08 2016-08-31
2018
16:39:37 2016-08-31
Все-таки соберусь и протестирую сей антивирус.
Deniskaponchik
15:44:19 2016-08-31
Luger
14:52:07 2016-08-31
Sasha50
13:49:02 2016-08-31
Дмитpий
13:11:48 2016-08-31
Вячeслaв
13:06:02 2016-08-31
Полностью запретить редактирование файла наверно нельзя, но можно оставить полные права только для SYSTEM. и не забываем, что администратор всегда может стать владельцем файла. Рекомендую заглянуть на http://forum.ru-board.com/topic.cgi?forum=62&topic=19215
djabax
12:30:22 2016-08-31
Tetania Zeta
12:13:16 2016-08-31
kama35
12:11:55 2016-08-31
Nikodim2011
12:08:55 2016-08-31
maghan
11:55:06 2016-08-31
krantroru
11:10:19 2016-08-31
Damir
10:47:48 2016-08-31
PITONMAN
10:36:39 2016-08-31
razgen
10:29:14 2016-08-31
Геральт
10:17:11 2016-08-31
GREII
09:33:05 2016-08-31
marisha-san
09:27:27 2016-08-31