Защита файла hosts от изменений.

Приветствую,Всех читателей ресурса WindowsFan.Ru!!!

Файл hosts, который имеется в каждой системе Windows, служит в качестве дополнения для браузера, позволяя на медленных соединениях эмулировать работу виртуальных сайтов или DNS серверов.

Достаточно вписать в этот текстовый файл IP адрес и сопоставить ему доменное имя файла, как браузер будет обращаться именно по указанному IP. Это удобно делать для порталов, web-ресурсов электронной почты и т.д. – даже если у провайдера откажет DNS сервер, выдающий IP адреса сайтов, они будут взяты из hosts, и работа не остановится.

Программы-черви и вирусы очень «любят» менять содержимое этого файла, указывая для распространенных ресурсов вроде ВК, Одноклассников и прочих IP адреса собственных фишинговых сайтов. Такой сайт выглядит похоже на настоящий, но служит только для ввода логина и пароля, который, таким образом, ворует у пользователя.

Чтобы не потерять свои пароли, в том числе к банкам онлайн, требуется защита файла hosts. Всегда нужно помнить, что в системе он может быть не один – дополнительный путь к нему можно указать в реестре.

Но имя у него должно быть то же самое. Если в поиске вы найдете два таких файла, то можете считать, что система точно заражена вирусом. Если копия файла будет одна, то нужно просмотреть его в Блокноте.

Обязательно листайте файл до конца: некоторые пользователи просто не видят, что за пустыми строчками внизу экрана редактора вновь идут списки перенаправления. Файл должен занимать менее килобайта, а единственная значимая строка в нем – 127.0.0.1 localhost. В принципе, можно даже удалить этот файл, это не отразится на работе системы и Интернета.

Такая простота наблюдения позволяет создавать собственное ПО отслеживания сайта. На любом языке программирования можно написать программу, которая будет открывать рабочий hosts и анализировать его с определенным временным интервалом.

Если писать программу не хочется, то можно найти похожую на любом ресурсе с бесплатными программами. Яндекс включает защиту этого файла с помощью аддона Praetorian, но на практике он срабатывает довольно странно. Вместо анализа файла, можно просто удалять его, но нужно помнить, что сам по себе он не заразен, а вирусный процесс в памяти может тут же перезаписать его заново.

Нахождение измененного файла является лишь сигналом к тому, что с этого момента надо перестать вводить в Интернете любые пароли, сменить их и начинать искать вирусный процесс в памяти компьютера.

Довольно удобно следить за состоянием файла hosts через антишпионскую утилиту AVZ, где можно не только анализировать строки файла и чистить их, но и выполнять целую массу действий по обнаружению вредоносных процессов в памяти компьютера. Сама утилита не лечит вирусы, но способна их обнаруживать. Она, кстати, совершенно бесплатна.

В некоторых антивирусах можно ставить блокировку на изменение этого файла. Есть также утилиты, которые устанавливаются в автозапуск и сообщают пользователю о проблеме: HostsPatrol, 2IP Start Guard и многие другие.

На этом пока все всем пока и до новых познавательных встреч с вами ...