На сегодняшний день есть огромное количество троянов, которые изменяют файл hosts и таким образом перенаправляют пользователя на другие сайты или же просто их блокируют (например, сайты разработчиков антивирусного ПО). При первых подозрениях всегда стоит проверить содержимое hosts, как я описывал в статье «Не открывается mail.ru, yandex.ru, vkontakte.ru, odnoklassniki.ru». Поведение троянов стандартное и, в принципе, этим уже сегодня никого не удивишь. Однако недавно пришлось столкнуться с какой-то новой разновидностью подобного вредоносного ПО.
По всем признакам компьютер был заражен: сайт kaspersky.ru не открывался, а при попытке открыть вКонтакте, загружалась страница с предложением отправить SMS на какой-то номер. Что характерно, содержимое файла hosts в %SystemRoot%\System32\Drivers\Etc было стандартным. Вспомнил, что расположение hosts можно изменить в реестре. В итоге так оно и оказалось.
Для того чтобы посмотреть, какой файл hosts сейчас используется, выполните следующие действия:
- Запустите редактор реестра regedit.exe
- Откройте раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
- Параметр DataBasePath содержит путь к стандартным файлам баз данных (hosts, lmhosts, networks, protocols)