Home > Tips & Tricks > Сліди вірусів в системних файлах

Сліди вірусів в системних файлах

May 7th, 2009 Dimi4 Leave a comment Go to comments

Віруси та трояни часто змінюють в своїх цілях системний файл hosts. Це може призвести до того, що навіть після очистки комп’ютера атака зможе успішно повторитись.

Що робим? Перевіряєм, захищаєм файл hosts!

Для початку переглянем файл.Для цього заходим в %windir%\system32\drivers\etc (Зазвичай це C:\Windows\ system32\drivers\etc ).

В ньому бажано залишити лише один рядок:

127.0.0.1 localhost

Якщо там виявляться ще сторонні, не зрозумілі вам записи – сміло видаляйте їх. Також бажано захистити від запису файл. В “Свойствах” активуйте режим “Только чтение“. Але це не вирішить проблеми в цілому.

Моніторим розмір файлу.

За допомогою скрипта на Visual Basic Scripts будемо слідкувати за розміром hosts.  Створюєм size-ctrl.vbs з вмістом:

dim objShell,objFSO,objFile
set objShell=CreateObject("wscript.shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFile = objFso.GetFile("C:\Windows\system32\drivers\etc\hosts")
strTitle="Alert"strMsg="File 'hosts' has changed. Normal: 1339, Your: " & objFile.Size &Vbcrlfif objFile.Size <> 1339 then
objShell.Popup strMsg,7,strTitle,vbOKOnly+vbExclamation
end if
WScript.quit

Тепер скрипт можна занести в автозавантаження. При вході в систему, в разі небезпеки ви будете повідомлені.

Categories: Tips & Tricks Tags: ,
  1. Vovanada
    May 7th, 2009 at 23:33 | #1
    Reply | Quote

    я завжди працюю із файлом hosts, тому для мене це не небезпечно. та й у мене віруси щось ніколи не змінювали його.

    П.С. поставте собі тут плагін Subscribe To Comments, а то напряжно слідкувати за коментарями

  2. Dimi4
    May 7th, 2009 at 23:55 | #2
    Reply | Quote

    Звичайно, метод далеко не ідеал, але деяким може стати в пригоді (:

    П.С. Subscribe To Comments активував)

  3. ZEXEL
    May 8th, 2009 at 22:02 | #3
    Reply | Quote

    В друга була така ситуація, що коли відкриваеш vkontakte.ru – відкривається інша сторінка в якій написано відправити повідомлення на номер…

    Тобі я провірив C:\Windows\system32\drivers\etc і нічого там не знайшов
    Тоді питання : як воно робить якщо редірект на інший сайт ? Браузер Opera

  4. presidentua
    May 8th, 2009 at 23:22 | #4
    Reply | Quote

    @ZEXEL
    можна по різному. Наприклад один з простіших, програма працює як проксі, а в налаштування всіх встановлених браузерів ставить налаштування-проксі через себе. Це дає їй можливість як контролювати сайти, так і перехоплювати паролі.

  5. mukola
    June 15th, 2009 at 23:59 | #5
    Reply | Quote

    а що з тим *.vbs робити. куда його засунути? щось на зразок бату?

    також файл host часто використовують кряки. я наприклад бачив там записи алкоголя – ну що б він в нет не поліз і не побачив, що його крякнули.

  1. No trackbacks yet.