На сьогоднішній день є величезна кількість троянів, які змінюють файл hosts і таким чином перенаправляють користувача на інші сайти або ж просто їх блокують (наприклад, сайти розробників антивірусного ПО). При перших підозрах завжди варто перевірити вміст hosts, як я описував в статті « Чи не відкривається mail.ru, yandex.ru, vkontakte.ru, odnoklassniki.ru ». Поведінка троянів стандартне і, в принципі, цим вже сьогодні нікого не здивуєш. Однак нещодавно довелося зіткнутися з якоюсь новим різновидом подібного шкідливого ПЗ.

За всіма ознаками комп'ютер був заражений: сайт kaspersky.ru не відкривався, а при спробі відкрити вКонтакте, завантажувалася сторінка з пропозицією відправити SMS на якийсь номер. Що характерно, вміст файлу hosts в% SystemRoot% \ System32 \ Drivers \ Etc було стандартним. Згадав, що розташування hosts можна змінити в реєстрі. У підсумку так воно і виявилося.

1. Запустіть редактор реєстру regedit.exe
2. Відкрийте розділ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters
3. Параметр DataBasePath містить шлях до стандартних файлів баз даних (hosts, lmhosts, networks, protocols)