Загадочная подмена IP адресов на популярные сервисы

Очередной пользователь принес мне свой системный блок с просьбой решить проблему — не работают сайты mail.ru, одноклассники, вконтакте, как всегда с сообщениями «Ваш аккаунт заблокирован отправить SMS на номер… т.д. и т.п.»

В браузере все адреса правильные, все очень правдоподобно. Первое что я сделал, это посмотрел реакцию на команду пинг, IP адреса все оказались одинаковые и конечно не оригинальные.

Сразу навело на мысль что это подмена DNS, отсюда сделан вывод что либо это установлены «левые» настройки интерфейса, либо изменен файл hosts. Но, не тут-то было…

В настройках сетевой карты, там установлены непонятные DNS сервера, заменил. В файле host (windows\system32\drivers\etc\hosts) все окей только одна строчка с записью:

127.0.0.1 localhost

Проверил пинг, все равно подмена осталась, странно. Меня это немого ввело в ступор, где же ещё… Перекопал практически все, процессы, настройки прокси, неа, ни в какую, настройки роутинга — нет!

Случайно перемещаясь в «командной строке» захожу в папку \etc и нажимаю Tab. Каково же было мое удивление, что первый подставился файл host7 0_о. Данного файла нет ни в проводнике (скрытые, системные отображаются) ни при выводе команды dir в списке файлов. Сразу написав незамысловатую команду >type c:\windows\system32\drivers\etc\host7 получаю список:

[какой-то левый IP] [адреса сайтов]
...
[какой-то левый IP] [адреса сайтов]


Набрав >notepad c:\windows\system32\drivers\etc\host7 отредактировал его до стандартного вида (только с «командной строки» запущенной от имени администратора) и все наладилось.

Теперь я знаю где этот паразит. И вам рассказал.
Теги:
фишинг, hosts

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Похожие публикации