Свободный ФОРУМ г.Волгодонск ВОЛГОДОНСК
Свободный городской форум
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы  РегистрацияРегистрация 
  RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Вирус модернизирующий hosts

 
Начать новую тему   Ответить на тему    Список форумов ВОЛГОДОНСК -> Интернет, Web-верстак
Предыдущая тема :: Следующая тема  
Автор Сообщение
ntking
Админ


Зарегился: 02.06.2005
Сообщения: 1220
Откуда: Волгодонск Район: В-16

СообщениеДобавлено: 10 Авг 2012 13:27    Заголовок сообщения: Вирус модернизирующий hosts Ответить с цитатой

На днях подцепил вирус, на вполне приличном сайте (видимо взломали и подсадили), модернизирующий файл
Код:
\%WINDIR%\system32\drivers\etc\hosts
и закрывающий доступ к ресурсам, на которых есть решение нейтрализации данного зловреда и переадресовывающий запросы на сайты odnoklassniki.ru и vk.com на германский VDS 95.156.222.135.
Если Вы попытаетесь зайти на эти сайты, то загрузится страница с хакерского сервера в точности похожая на страницу авторизации этих социальных сетей. При попытке войти на сайт, используя свой логин и пароль Вас якобы никуда не пускает, а логин и пароль логируются в корыстных целях.
Привлекло мое внимание то, как вирус проникает в машину. Во временной папке создается файл, к примеру
Код:
\%WINDIR%\Temp\15918546FDoh
в котором прописывается переадресация сайтов решения проблемы на localhost, а социальных сетей на сервер 95.156.222.135. Далее этот файл копируется на место
Код:
\%WINDIR%\system32\drivers\etc\hosts
и в реестр, в автозагрузку
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
прописывается команда:
Код:
cmd.exe/c copy \%WINDIR%\TEMP\15918546FDoh \%WINDIR%\system32\drivers\etc\hosts/Y && attrib +H \%WINDIR%\system32\drivers\etc\hosts
чтобы гарантированно чистый hosts заменялся на модернизированный при загрузке/перезагрузке компьютера.
Пример модернизированного файла hosts:
Скрытый текст:
--- Для просмотра текста необходима регистрация ---
Хочу уточнить, что данные записи начинаются со строки 101. В начале файла стоит запись
Код:
127.0.0.1 LOCALHOST

Не удивлюсь, если в следующей версии этого вируса в "черном" списке окажется этот форум.
Решение: Удалить из реестра вышеупомянутую строку, удалить файл hosts.
Ключевые слова для данной статьи: Не возможно зайти на вконтакте, на одноклассники.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ВОЛГОДОНСК -> Интернет, Web-верстак Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете добавлять приложения в этом форуме
Вы не можете скачивать файлы в этом форуме
Форум Справочник Работа Погода Реклама




Powered by phpBB | Hosted by desl.ru
© 2005-2016 VDFORUM.NET, © 2016-2020 VDFORUM.ntking.RU Created & Moded by ntking, г.Волгодонск
Хрусть Мочальная