Отправляет email-рассылки с помощью сервиса Sendsay

Рассылка сайта remnabor.net

  Все выпуски  

Рассылка сайта remnabor.net -=> Фальшивый файл Hosts


Автор - один из наших постоянных читателей по имени Александр.  Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе. Так что с данного момента прошу считать открытой ещё одну рубрику под названием "Нам пишут"!

И если у вас, дорогие читатели, возникнут какие-либо вопросы, уточнения или пожелания - смело задавайте их в комментариях к заметке на сайте по адресу http://remnabor.net/falshiviy-fail-hosts  или по почте admin@remnabor.net !

 

Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.

Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:\Windows\System32\drivers\etc

Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет - приезжай.

 

Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.

А вот после проверки компьютера Malwarebytes' Anti-Malware-ом выяснилось вот что:

Обнаружение фальшивого файла Hosts
Обнаружение фальшивого файла Hosts

 

Этот антируткит обнаружил ещё один файл hosts !

Я даже не предполагал, что такое возможно.

Этот файл удалили, а реестре  HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters обнаружилась запись %windir%\System32 :

Неправильная
запись в ключе реестра DataBasePath
Неправильная запись в ключе реестра DataBasePath

 

А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%\System32\drivers\etc !

То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !

Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.


У него установлена Windows XP (x32), браузер IE.

Да, кстати, потом спросил друга - с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.


В избранное