在之前的一篇博文中域名劫持,我们简要地讨论了hosts文件。主机文件就像你的互联网快速拨号目录。一些系统只存储少量的数字,而另一些系统则存储大量的条目。如果有人能够改变这个目录,当你想要打电话给一个亲戚时,你最终拨打了一个每秒一美元的号码,那会怎么样呢?基本上,这就是我们在这里要讨论的。
hosts文件在哪里?
主机文件的实际位置存储在注册表中的键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下,值DataBasePath。默认情况下,该文件的文件夹位置是(并且自Windows NT/2000以来一直是)% systemroot % \ SYSTEM32系统\司机\等等,在那里% systemroot %通常是C: \Windows目录。
这是什么文件?
hosts文件没有扩展名,但是可以用记事本(或类似的东西)打开它来查看。要替换或更改hosts文件,需要管理员权限,但每个用户都有“读”权限。
在解析一个互联网请求(查找属于某个域名的IP)之前,Windows会在hosts文件中查看该域名是否有一个预定义的条目(记得吗,就是快速拨号)。
更改hosts文件的可能原因
hosts文件中的这些预定义条目可能存在以下几个原因:
- (阻塞:一些人常常不知道主机文件可以通过他们的安全安装程序)使用它们来屏蔽不需要的网站通过连接恶意或其他不必要的域的IPs 127.0.0.1或0.0.0.0点请求系统本身,所以实际上不会有外向交通为这些请求。
- 指向:例如,系统管理员使用“hosts”文件映射内网地址。
恶意软件使用它有自己的原因,其中两个最常见的原因是:
- 阻止安全软件的检测:例如,通过阻止流量到所有最知名的安全厂商的下载或更新服务器。
- 将流量重定向到他们选择的服务器:例如,拦截到广告服务器的流量,并用自己的广告替换。
以特洛伊为例。Qhost变体,阻止了对几个安全相关域的访问。从历史上看,MyDoom蠕虫是第一个阻止安全相关网站和Windows更新的病毒。
最近的例子
一个更明显和无情的方法滥用别人的努力工作是通过一个广告软件,窃取主机文件,这可能是最用于广告拦截的目的,并改变它,将所有流量重定向到他们自己的服务器。
所讨论的hosts文件是mvp的主机文件,它被一个自称为“巴基斯坦女孩的移动数据”。在这张截图中,你可以看到左边是原始版本,右边是修改后的版本:
恶意软件的作者甚至没有费心去删除标题。他们确实用他们自己的188[DOT]138[DOT]17[DOT]135替换了IP 0.0.0.0,并保持不变。请注意,被恶意软件安装了这个更改的主机文件的系统在感染之前没有MVPS主机文件。它配备了默认的Windows hosts文件。所以,恶意软件并没有改变系统中存在的主机文件,而是先植入了一个他们下载并修改的主机文件。
另一个引起我注意的例子是我们已经讨论过的因为另一个原因.在那一点上,我给它命名Dotdo音频.这个浏览器劫机者使用了很多技巧,其中之一是半随机的文件和文件夹名称。而且,最有可能是为了阻止人们在在线病毒扫描中查看他们的文件,他们已经决定将流量重定向到Virustotal.com.
特别提到
一个主机劫持值得一些额外的注意,仅仅因为使用的方法的复杂性。一些变异的Shopperz已经修补了Microsoft dnsapi.dll文件,以便它指向一个不同的主机文件。因此,如果您查看主机文件,您将看不到任何错误,但系统在执行查找时将看到一个完全不同的文件。
总结
主机文件是个人电话簿的互联网变体。我们讨论了一些恶意软件的变体,它们会替换或更改电话簿,所以你最终会拨打错误的网站。他们想让你打电话的人。
文件详细信息
Pakistani-Girls-Mobile-Data.exe SHA256:1058年e4f356af5e2673bf44d2310f1901d305ae01d08aa530bc56c4dc2aecb04c
必威平台APP伪反恶意软件检测此文件为Trojan.HostsHijack。
和往常一样,在外面保持安全,确保你受到保护。
Pieter Arntz
评论