Защитить файл Hosts от изменения вирусами

Каждый раз, когда вы вводите в адресную строку браузера название сайта, ваш компьютер, прежде чем с ним соединится, должен преобразовать это “буквенное” название в соответствующий ему числовой адрес (например, сайт commix.ru имеет адрес 188.40.18.173). Для этого система опрашивает DNS-серверы, которые хранят информацию об адресах.

Обычный пользователь компьютера, подключенного к сети Интернет, не имеет возможности вносить изменения в базы данных DNS-серверов. Однако, в операционной системе есть доступный файл Hosts, который также хранит в себе соответствия буквенных имен к цифровым адресам, и при этом данный файл имеет приоритет перед службой опроса DNS-серверов.

То есть, если информация об адресе отсутствует в файле hosts, тогда система опросит DNS-сервер, и наоборот: не будет опрашивать серверы, если адрес указан в локальном hosts-файле. Некоторые вирусы изменяют этот файл, указывая неверные адреса, после чего, например, становится невозможно подключиться к серверам антивирусов. Поэтому, будет полезно запретить вирусам это делать.

Проще всего тем, кто не работает под учетной записью администратора с выключенной службой UAC. Система ограничит доступ к этому файлу. Однако многих раздражает излишний контроль, и бесконечные подтверждения своих действий, поэтому в ущерб безопасности работают под самой главной учетной записью системы с отключенной службой UAC.

Итак, как же обезопаситься от изменения этого файла вирусами? Например, можно создать его копию с расширением .bak и периодически (при загрузке/по расписанию планировщика) восстанавливать из этой копии. Пример соответствующего bat-файла:

copy %WINDIR%\SYSTEM32\drivers\etc\hosts.bak %WINDIR%\SYSTEM32\drivers\etc\hosts

А еще можно изменить расположение файла Hosts! Уверен, что большинство обычных пользователей разве что “где-то слышали” о существовании этого файла, поэтому очень сомнительно, что вирус будет сначала сверяться с настройками системы, а не сразу полезет менять его в предопределенной папке. Во всяком случае попробовать можно.

Настройки меняем так

1. Открываем редактор реестра: Пуск, Выполнить: regedit
2. Переходим в ветку:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\

3. Для ключа “DataBasePath” меняем значение на свое усмотрение. По умолчанию оно такое:

“DataBasePath”=”%SystemRoot%\System32\drivers\etc”

Стандартный файл Hosts имеет следующий вид:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost

Некоторые антивирусы и файрволы умеют контролировать файл Hosts по части изменений.