Фальшивый файл Hosts

Автор — один из наших постоянных читателей по имени Александр.  Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе.

Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.

Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:\Windows\System32\drivers\etc

Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет — приезжай.

 

Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.

А вот после проверки компьютера Malwarebytes’ Anti-Malware-ом выяснилось вот что:

Обнаружение фальшивого файла Hosts
Обнаружение фальшивого файла Hosts

 

Этот антируткит обнаружил ещё один файл hosts !

Я даже не предполагал, что такое возможно.

Этот файл удалили, а реестре  HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters обнаружилась запись %windir%\System32 :

Неправильная запись в ключе реестра DataBasePath
Неправильная запись в ключе реестра DataBasePath

 

А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%\System32\drivers\etc !

То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !

Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.


У него установлена Windows XP (x32), браузер IE.

Да, кстати, потом спросил друга — с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.

Фальшивый файл Hosts