Главная » Лайфхаки

Компьютерные вирусы, которые изменяют файл hosts для перенаправления трафика

Автор На чтение 8 мин Опубликовано

В мире, где цифровая реальность стала нашей второй кожей, угрозы меняются быстрее, чем московское метро в час пик. Сегодня я хочу поговорить о старой, как мир, но до сих пор чертовски эффективной тактике киберпреступников: манипуляциях с файлом hosts. Это не просто академические знания из учебников, это боль и боль, которую я пережил на своей шкуре, помогая десяткам, а то и сотням людей в наших российских реалиях.

Представьте себе телефонную книгу. Ту самую, старую, пыльную, где напротив имени «Сбербанк» записан его реальный номер. А теперь представьте, что кто-то в этой книге тихонько, карандашиком, исправил номер Сбербанка на номер какого-то мошенника. Вы звоните, думая, что общаетесь с банком, а на том конце провода сидит жулик. Вот это и есть файл hosts — локальная телефонная книга вашего компьютера, которая сопоставляет доменные имена (вроде sberbank.ru) с IP-адресами. И если эту книгу подделать, ваш браузер или любая другая программа будет обращаться не туда, куда вы думаете.

Содержание
  1. Паутина обмана: как это работает на практике
  2. Кейс из практики: «привет» от Сбербанка
  3. Когда «антивирус» не поможет
  4. Цифровой детектив: как вычислить подвох
  5. Аптечка первой помощи: как вылечить
  6. Железный щит: как не попасться

Паутина обмана: как это работает на практике

В чем прелесть hosts для злоумышленника? В его приоритете. Операционная система сначала смотрит в hosts, и только потом, если там ничего не найдено, обращается к DNS-серверам в интернете. Это как местный закон, который имеет приоритет над федеральным. В этом и кроется вся соль и опасность.

За 20 лет в IT я насмотрелся всякого. От мелких шалостей до серьезных финансовых потерь. Типичный сценарий: вы открываете вроде бы знакомый сайт — vk.com, gosuslugi.ru, или, что особенно опасно, online.sberbank.ru. Но вместо привычной страницы логина вы видите что-то немного не то. Или, что еще хуже, страницу, которая выглядит идеально. Вы вводите логин и пароль, а они улетают прямиком к злоумышленникам. А потом вас перекидывает на настоящий сайт, и вы даже не понимаете, что только что вас «раздели».

Кейс из практики: «привет» от Сбербанка

Помню случай, когда ко мне обратилась пожилая женщина. Звонит, говорит: «Не могу зайти в Сбербанк Онлайн, все время пишет «неверный пароль», хотя я его точно помню!» Приезжаю, смотрю. Браузер вроде обычный, но когда я полез в файл hosts (на Windows он живет по адресу C:WindowsSystem32driversetchosts), там была целая «простыня» из поддельных записей. И, конечно же, строчка типа:

192.168.1.100 online.sberbank.ru

Где 192.168.1.100 — это был IP-адрес локальной машины, на которой крутился фейковый веб-сервер с клоном страницы Сбербанка. Вирус, скорее всего, пролез через какой-то «кряк» или «оптимизатор» системы. Он не просто изменил hosts, он еще и поднял локальный веб-сервер. Вот это уже высший пилотаж мошенничества, который не так часто встретишь, но когда встречаешь — это реальный «попадос».

Когда «антивирус» не поможет

Еще один распространенный трюк: заблокировать доступ к сайтам антивирусов или обновлений Windows. В hosts появляются записи вроде:

127.0.0.1 update.microsoft.com
127.0.0.1 kaspersky.com
127.0.0.1 drweb.ru

Это означает, что когда ваша система попытается обратиться к этим адресам, она будет перенаправлена на 127.0.0.1 — то есть, на сам себя, на «пустоту». В итоге, ни обновления скачать, ни антивирус обновить. Компьютер становится беззащитным, как младенец на минном поле. Я видел такое десятки раз, особенно у любителей «бесплатных» программ.

Цифровой детектив: как вычислить подвох

Как же понять, что ваш hosts файл подделан? Есть несколько признаков и «лайфхаков», которые я накопил за годы:

  1. Проверка файла hosts вручную:
    • Windows: Откройте «Блокнот» от имени администратора. Затем «Файл» -> «Открыть» и перейдите по пути C:WindowsSystem32driversetc. В выпадающем списке «Тип файлов» выберите «Все файлы» (*.*), иначе вы не увидите hosts. Откройте его. Оригинальный файл обычно содержит много закомментированных строк (начинаются с #) и несколько строк для localhost. Любые другие записи, особенно для популярных сайтов, должны вызывать подозрение.
    • Unix/Linux/macOS: Откройте терминал и введите cat /etc/hosts. Если вы видите там что-то странное, это повод для тревоги.
    • Android (только для рутованных устройств): Доступ к /etc/hosts требует root-прав. Если у вас рутованный телефон и вы заметили странное поведение с сайтами, проверьте этот файл через файловый менеджер с root-доступом. Но, честно говоря, на Android чаще встречаются другие методы перенаправления — через вредоносные VPN-профили или прокси-настройки.
  2. Странное поведение сайтов: Медленная загрузка, ошибки сертификатов (особенно если браузер ругается на «недоверенный сертификат» на сайте, который раньше работал без проблем), несовпадение дизайна, запросы на ввод данных, которых раньше не было. Если браузер выдает ошибку, что «соединение не защищено», на сайте, где вы обычно вводите свои данные (банк, госуслуги) — это красный флаг!
  3. Недоступность сайтов антивирусов/обновлений: Пытаетесь зайти на сайт Касперского, Доктора Веба или обновить Windows, а оно не работает, или выдает ошибку. Это классика жанра.
  4. «Откат» изменений: В моем опыте, на Windows 10/11, после перезагрузки системы, иногда бывает, что измененный hosts файл, даже если его поправили, вновь «откатывается» к зараженному состоянию. Это не сам hosts файл, а какой-то процесс или служба, которая его мониторит и «восстанавливает». Часто это связано с кривыми активаторами Windows/Office или «оптимизаторами» системы, которые сами по себе являются рассадниками заразы. Здесь поможет Process Monitor от Sysinternals — отфильтруйте по операциям с файлом hosts и посмотрите, кто его пишет.
  5. Изменение разрешений файла: Зараженный hosts файл может быть заблокирован от редактирования. Попробуйте сохранить изменения в Блокноте. Если не дает, значит, у файла изменены права доступа или он заблокирован каким-то процессом. Проверьте свойства файла (правая кнопка мыши -> Свойства -> Безопасность) и убедитесь, что у вашей учетной записи есть права на запись. Иногда вирус специально делает файл «только для чтения», чтобы его было сложнее исправить.

Нюанс для опытных: некоторые вирусы не просто меняют hosts, а создают его «зеркальные» копии или скрывают настоящий файл. Будьте внимательны к расширениям файлов и скрытым папкам. В проводнике Windows убедитесь, что включен показ скрытых файлов и расширений файлов.

Отказ от ответственности: Информация в этой статье предоставлена исключительно для общего ознакомления. Хотя я старался дать максимально точные и полезные советы на основе своего многолетнего опыта, компьютерные угрозы постоянно эволюционируют. Применение любых рекомендаций вы осуществляете на свой страх и риск. В случае серьезного заражения или сомнений, настоятельно рекомендую обратиться к квалифицированному специалисту по информационной безопасности. Неправильные действия могут привести к потере данных или дальнейшему повреждению системы.

Аптечка первой помощи: как вылечить

Если вы обнаружили, что ваш hosts файл заражен, не паникуйте. Вот шаги, которые обычно помогают:

  1. Очистка файла hosts:
    • Откройте hosts как описано выше. Удалите все подозрительные строки, которые не начинаются с # и не относятся к localhost (обычно это 127.0.0.1 localhost и ::1 localhost).
    • Сохраните изменения. Возможно, придется перезагрузить компьютер.
  2. Сброс DNS-кэша: Даже после исправления hosts, ваш компьютер может еще некоторое время «помнить» старые, вредоносные IP-адреса. Откройте командную строку от имени администратора и введите ipconfig /flushdns. На Unix/Linux обычно достаточно перезапустить сетевую службу или просто подождать.
  3. Полное сканирование системы антивирусом: Это критически важно. Исправление hosts — это лишь устранение симптома. Нужно найти и удалить сам вирус, который его изменил. Используйте надежный антивирус (Kaspersky, Dr.Web, ESET, Avast, Windows Defender — что угодно, лишь бы было обновлено и работало). Иногда приходится запускать сканирование в безопасном режиме, чтобы вирус не мешал.
  4. Проверка автозагрузки и служб: Многие вирусы прописываются в автозагрузку или создают свои службы, чтобы переживать перезагрузки. Используйте утилиты вроде Autoruns от Sysinternals (для Windows) или ручной анализ /etc/rc.d, /etc/init.d, systemctl (для Linux) для поиска подозрительных записей. Если вы не уверены, что удалять, лучше проконсультироваться.
  5. Сброс настроек браузера: Некоторые вирусы могут изменять настройки прокси в браузере. Сбросьте их до значений по умолчанию.
  6. Проверка роутера: В особо хитрых случаях злоумышленники могут изменить DNS-серверы прямо на вашем домашнем роутере. Зайдите в веб-интерфейс роутера (обычно 192.168.0.1 или 192.168.1.1) и проверьте настройки DNS. Убедитесь, что там стоят DNS-серверы вашего провайдера или публичные, вроде Google (8.8.8.8, 8.8.4.4) или Cloudflare (1.1.1.1). Обязательно смените пароль администратора роутера, если он остался заводским!

Железный щит: как не попасться

Предотвращение всегда лучше лечения. Вот несколько правил, которые помогут вам не стать очередной жертвой:

  1. Обновляйте всё: Операционную систему, браузеры, антивирус, все программы. Дыры в безопасности — это открытые двери для злоумышленников.
  2. Используйте надежный антивирус: Не экономьте на безопасности. Хороший антивирус — это ваш телохранитель. И регулярно обновляйте его базы.
  3. Будьте подозрительны: Не открывайте вложения из неизвестных писем. Не переходите по подозрительным ссылкам. Не устанавливайте программы из сомнительных источников, особенно «кряки» и «активаторы». Помните: бесплатный сыр бывает только в мышеловке.
  4. Проверяйте адресную строку: Перед вводом логина и пароля всегда смотрите на адрес в браузере. Должен быть замочек (HTTPS), а доменное имя должно быть правильным (sberbank.ru, а не sberbanc.ru или sberbank-online.ru.info).
  5. Резервное копирование: Делайте бэкапы важных данных. Регулярно. В идеале — на внешний носитель, который отключается от компьютера после копирования.
  6. Двухфакторная аутентификация (2FA): Везде, где это возможно, используйте 2FA. Даже если злоумышленник получит ваш пароль, он не сможет зайти без второго фактора (например, кода из СМС или приложения).
  7. Пользовательские права: Работайте под учетной записью с ограниченными правами. Администраторские права нужны только для установки программ или системных изменений. Это значительно снизит риск заражения.

Тема файла hosts — это лишь верхушка айсберга в мире киберугроз. Но ее понимание и умение работать с этим файлом может спасти вас от серьезных проблем. Будьте бдительны, и пусть ваш цифровой дом будет неприступной крепостью!

Радик Камаев

Сисадмин с 20-летним опытом. Windows, Unix, Android.

Оцените автора
Познавательный портал
© 2025 Познавательный портал