Dr web не позволяет изменить файл hosts

Обновлено: 21.11.2024

Plesk Premium Antivirus на базе Dr.Web.
Антивирус Касперского.

Оба этих решения обеспечивают сканирование почтового трафика в режиме реального времени и защиту клиентов от вредоносных программ. В этом разделе вы найдете подробную информацию об этих антивирусных решениях.

Антивирус Plesk Premium

Plesk Premium Antivirus поставляется с Plesk в виде пакетов RPM.

Структура каталогов

Корневой каталог: /opt/drweb/

/etc/drweb/ — это каталог с различными файлами конфигурации.
/etc/drweb/drweb32.ini — файл конфигурации по умолчанию для ядра drwebd.
/etc/drweb/drweb_qmail.conf — файл конфигурации для фильтра qmail-queue.
/etc/drweb/users.conf хранит конфигурацию для каждого почтового имени, для которого включен антивирус.

Вирусные базы: /var/drweb/bases/*vdb

Каталог карантина: /var/drweb/infected/

Файл журнала: /var/drweb/log/drwebd.log

Управление антивирусом

Сервис Dr.Web представляет собой автономный демон drwebd (также называемый движком), который запускается из скрипта /etc/init.d/drwebd. Вы также можете остановить и снова запустить его с помощью следующей команды:

Примечание: эти команды останавливают и запускают другие службы Plesk: DNS-сервер, почтовый сервер и т. д.

Вы также можете управлять им на странице «Управление службами» в панели администрирования сервера.

Взаимодействие с drwebd осуществляется через клиент Dr.Web. Он может изменять параметры антивируса и запускать проверку файлов. Клиент отображает полный список своих атрибутов, если он запущен без атрибутов. Кроме того, он может извлекать подробную информацию о работе двигателя. Следующая команда выдает информацию о версии Dr.Web и вирусной базе данных.

По умолчанию вирусные базы обновляются каждые 30 минут с помощью задачи cron: /opt/drweb/update/update.pl > dev/null 2>&1

Фильтрация почты

Dr.Web заменяет родной фильтр qmail-queue, используемый для передачи входящих сообщений в очередь qmail, собственной утилитой. Параметры конфигурации утилиты хранятся в файле /etc/drweb/drweb_handler.conf.

Фильтрация Dr.Web активируется на уровне имени почты. Если он включен, он может проверять входящие, исходящие или оба типа сообщений. Информация хранится в файле /etc/drweb/users.conf. Ниже приведен пример трех почтовых имен с разными конфигурациями Dr.Web:

В приведенной выше конфигурации Dr.Web будет проверять наличие вирусов в:

Входящие и исходящие сообщения для admin@domain01.tst
Входящие сообщения для user01@domain01.tst
Исходящие сообщения для user02@domain01.tst

Антивирус Касперского

Антивирус Касперского — это модуль, сканирующий входящий и исходящий почтовый трафик на вашем сервере и удаляющий вредоносный и потенциально опасный код из почтовых сообщений. Чтобы использовать Антивирус Касперского на сервере Plesk, вам необходимо установить модуль Антивируса Касперского, а затем приобрести и установить лицензионный ключ.

Компонент «Анализ поведения» позволяет настроить реакцию Dr.Web на действия сторонних приложений, которые могут привести к заражению вашего компьютера, например, попытки изменить файл HOSTS или изменить критически важные ключи системного реестра. При включении компонента «Анализ поведения» Dr.Web блокирует автоматическое изменение системных объектов, если такое изменение явно свидетельствует о злоумышленной попытке нанести вред операционной системе. Анализ поведения защищает систему от ранее неизвестных вредоносных программ, которые могут избежать обнаружения с помощью традиционных сигнатурных и эвристических анализов. Для определения вредоносности приложения компонент использует данные в реальном времени из облачного сервиса Dr.Web.

Чтобы включить или отключить анализ поведения

<р>1. Откройте меню Dr.Web и выберите Центр безопасности.

<р>2. В открывшемся окне нажмите плитку Превентивная защита.

<р>3. Включите или отключите компонент анализа поведения с помощью переключателя .

Рис. 63. Включение/отключение компонента "Анализ поведения"

В этом разделе:

Параметры анализа поведения

Настройки по умолчанию оптимальны для большинства случаев. Не изменяйте их без необходимости.

Чтобы открыть параметры анализа поведения

<р>1. Убедитесь, что Dr.Web работает в режиме администратора (открыт замок внизу окна программы). В противном случае нажмите на замок .

<р>2. Щелкните плитку Анализ поведения. Откроется окно параметров компонента.

Рисунок 64. Параметры анализа поведения

Вы можете настроить отдельный уровень защиты для отдельных объектов и процессов или установить общий уровень, настройки которого будут применяться ко всем остальным процессам. Чтобы установить общий уровень защиты, выберите его из раскрывающегося списка на вкладке Уровень защиты.

Этот режим установлен по умолчанию. Dr.Web отключает автоматическое изменение системных объектов, изменение которых явно свидетельствует о злонамеренной попытке нанести вред операционной системе. Он также блокирует низкоуровневый доступ приложений к диску и защищает файл HOSTS от модификации, если это явно свидетельствует о злонамеренной попытке нанести вред операционной системе.

Блокируются только действия приложений, которым не доверяют.

Если существует высокий риск заражения вашего компьютера, вы можете усилить защиту, выбрав этот режим. В этом режиме блокируется доступ к критически важным объектам, которые потенциально могут быть использованы вредоносным ПО.

Использование этого режима может привести к проблемам совместимости с законным программным обеспечением, использующим защищенные ветки реестра.

Если требуется полный контроль над доступом к критически важным объектам Windows, вы можете выбрать этот режим. В этом режиме Dr.Web также обеспечивает интерактивное управление загрузкой драйверов и автоматическим запуском программ.

В этом режиме вы можете установить собственный уровень защиты для различных объектов.

Все изменения сохраняются в пользовательском режиме. В этом же окне вы можете создать новый уровень защиты для сохранения необходимых настроек. Защищенные объекты будут доступны для чтения при любых настройках компонента.

Вы можете выбрать одну из реакций Dr.Web на попытки приложения изменить защищаемые объекты:

• Разрешить — доступ к защищенному объекту будет разрешен для всех приложений.

• Спросить — если приложение попытается изменить защищенный объект, будет показано уведомление:

Рисунок 65. Пример уведомления с запросом на доступ к защищенному объекту

• Блокировать — при попытке приложения изменить защищенный объект доступ будет заблокирован. При этом уведомление будет отображаться:

Рисунок 66. Пример уведомления с заблокированным доступом к защищаемому объекту

Чтобы создать новый уровень защиты

<р>1. Просмотрите настройки по умолчанию и при необходимости отредактируйте их.

<р>2. Нажмите кнопку.

<р>3. В открывшемся окне введите имя нового профиля.

Чтобы удалить уровень защиты

<р>1. В раскрывающемся меню выберите созданный ранее уровень защиты, который вы хотите удалить.

<р>2. Нажмите кнопку. Предопределенные профили нельзя удалить.

<р>3. Чтобы подтвердить удаление, нажмите OK .

При необходимости вы можете настроить уведомления на рабочем столе и по электронной почте для действий Behavior Analysis.

Чтобы добавить настраиваемые параметры доступа для определенных приложений, перейдите на вкладку Доступ к приложению. На этой вкладке вы можете добавить новое правило приложения, отредактировать или удалить существующее.

Рисунок 67. Параметры доступа к приложению

Для работы с объектами в таблице доступны следующие элементы управления:

• Кнопка — добавление набора правил для приложения.

• Кнопка — редактирование существующих наборов правил.

• Кнопка — удаление набора правил.

В столбце ( Тип правила ) вы можете увидеть три типа правил:

• — правило Разрешить все установлено для всех защищаемых объектов.

• — для защищаемых объектов устанавливаются другие правила.

• — для всех защищаемых объектов установлено значение Блокировать все.

Чтобы добавить правило приложения

<р>2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.

Рис. 68. Добавление набора правил для приложения

<р>3. Просмотрите настройки по умолчанию и при необходимости отредактируйте их.

Целостность запущенных приложений

Этот параметр позволяет обнаруживать процессы, внедряющие свой код в запущенные приложения. Это указывает на то, что процесс может поставить под угрозу безопасность компьютера.

Операционная система использует файл HOSTS при подключении к Интернету. Изменения в этом файле могут указывать на заражение вирусом.

Низкоуровневый доступ к диску

Блокировать приложения от записи на диски по секторам, избегая при этом файловой системы.

Блокировать приложения от загрузки новых или неизвестных драйверов.

Важные объекты Windows

Другие варианты позволяют защитить от модификации следующие ветки реестра (в системном профиле, а также во всех профилях пользователей).

Параметры выполнения файла изображения

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Параметры выполнения файла изображения

Мультимедийные драйверы Windows:

Ключи реестра Winlogon:

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL

Ключи запуска реестра Windows:

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLL, LoadAppInit_DLL, Load, Run, IconServiceLib

Ассоциации исполняемых файлов:

• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)

Политики ограниченного использования программного обеспечения (SRP):

Вспомогательные объекты браузера для Internet Explorer (BHO):

• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Автозапуск программ:

Автозапуск политик:

Конфигурация безопасного режима:

Параметры диспетчера сеансов:

• Система\ControlSetXXX\Control\Session Manager\SubSystems, Windows

Если при установке важных обновлений Microsoft или установке и работе программ (включая программы дефрагментации) возникают какие-либо проблемы, временно отключите анализ поведения.

На этой странице вы можете настроить реакцию Dr.Web на такие действия других программ, которые могут поставить под угрозу безопасность вашего компьютера, и выбрать уровень защиты от эксплойтов.

При этом вы можете настроить отдельный режим защиты для конкретных приложений или настроить общий режим, настройки которого будут применяться ко всем остальным процессам.

Чтобы настроить общий режим, выберите его в списке Режим работы или нажмите Изменить параметры блокировки подозрительной активности . В результате второго действия открывается окно с подробной информацией о каждом режиме и параметрах редактирования. Все изменения сохраняются в пользовательском режиме. В этом же окне вы можете создать новый профиль для сохранения необходимых настроек.

Чтобы создать новый профиль

<р>1. Нажмите .

<р>2. В открывшемся окне введите имя нового профиля.

<р>3. Просмотрите настройки по умолчанию и при необходимости отредактируйте их.

Чтобы настроить параметры превентивной защиты для определенных приложений, нажмите Изменить параметры доступа для приложений . В открытом окне вы можете добавить новое правило или отредактировать или удалить существующее правило.

<р>1. Нажмите .

<р>2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.

<р>3. Просмотрите настройки по умолчанию и при необходимости отредактируйте их.

Чтобы изменить существующее правило, выберите его из списка и нажмите .

Чтобы удалить существующее правило, выберите его из списка и нажмите .

Подробнее о настройках каждого режима работы см. в разделе Уровень превентивной защиты.

Уровень превентивной защиты

В режиме Оптимальный, установленном по умолчанию, Dr.Web отключает автоматическое изменение системных объектов, изменение которых явно свидетельствует о злонамеренной попытке нанести вред операционной системе. Он также блокирует низкоуровневый доступ к диску и защищает файл HOSTS от модификации.

Если существует высокий риск заражения вашего компьютера, вы можете усилить защиту, выбрав Medium . В этом режиме блокируется доступ к критически важным объектам, которые потенциально могут быть использованы вредоносным ПО.

Если требуется полный контроль над доступом к критически важным объектам Windows, вы можете выбрать Paranoid . В этом режиме Dr.Web также обеспечивает интерактивное управление загрузкой драйверов и автоматическим запуском программ.

В пользовательском режиме вы можете установить собственный уровень защиты для различных объектов.

Целостность запущенных приложений

Целостность пользовательских файлов

Этот параметр позволяет обнаруживать процессы, изменяющие пользовательские файлы по известному алгоритму, что указывает на то, что процесс может поставить под угрозу безопасность компьютера. Процессы, добавленные в Исключения, не отслеживаются. Чтобы защитить ваши данные от изменения, вы можете включить создание защищенных копий, содержащих важные данные.

Низкоуровневый доступ к диску

Блокировать приложения от записи на диски по секторам, избегая при этом файловой системы.

Блокировать приложения от загрузки новых или неизвестных драйверов.

Важные объекты Windows

Другие варианты позволяют защитить от модификации следующие ветки реестра (как в системном профиле, так и во всех профилях пользователей).

Параметры выполнения файла изображения:

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Параметры выполнения файла изображения

Ключи реестра Winlogon:

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL

Ключи запуска реестра Windows:

• Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLL, LoadAppInit_DLL, Load, Run, IconServiceLib

Ассоциации исполняемых файлов:

• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)

Политики ограниченного использования программного обеспечения (SRP):

Вспомогательные объекты браузера для Internet Explorer (BHO):

• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Автозапуск программ:

Автозапуск политик:

Конфигурация безопасного режима:

Параметры диспетчера сеансов:

• Система\ControlSetXXX\Control\Session Manager\SubSystems, Windows

Если при установке важных обновлений Microsoft или установке и работе программ (включая программы дефрагментации) возникают какие-либо проблемы, временно отключите Превентивную защиту.

При необходимости вы можете настроить уведомления на рабочем столе и по электронной почте о действиях Превентивной защиты.

Эта опция позволяет блокировать вредоносные программы, использующие уязвимости известных приложений. Из соответствующего выпадающего списка выберите необходимый уровень защиты.

Предотвращение выполнения несанкционированного кода

Если будет обнаружена попытка вредоносного объекта использовать уязвимости программного обеспечения для получения доступа к критическим областям операционной системы, она будет автоматически заблокирована.

При обнаружении попытки вредоносного объекта использовать уязвимости программного обеспечения для получения доступа к критическим областям операционной системы Dr.Web выводит соответствующее сообщение. Прочтите информацию и выберите подходящее действие.

Разрешить выполнение несанкционированного кода

Надежная антивирусная защита и бюджетный брандмауэр

Майк Уильямс, опубликовано 23 июля 17

Наш вердикт

Dr.Web обладает мощными возможностями и предлагает широкие возможности настройки безопасности для экспертов, но он не очень удобен для пользователя.

В некоторых случаях низкие цены
Широко настраиваемый
Экспертные функции
Брандмауэр в комплекте

Против

Не проверено независимыми лабораториями.
Без фильтрации URL
Неудобный интерфейс
Слишком технический для многих пользователей

Вердикт TechRadar

В некоторых случаях низкие цены

Не проверено независимыми лабораториями

Без фильтрации URL

Слишком технический уровень для многих пользователей

Компания Dr.Web, основанная в 1992 году, является российским разработчиком, предлагающим широкий спектр антивирусных продуктов для настольных компьютеров и мобильных устройств.

Антивирус Dr.Web обеспечивает обнаружение вредоносных программ в режиме реального времени, мониторинг поведения и удивительный бонус в виде встроенного брандмауэра. Это дает вам фильтрацию на уровне пакетов, мониторинг приложений в режиме реального времени и возможность настраивать то, что любое приложение может делать в Интернете.

С ценообразованием все в порядке. Это может быть всего 13 евро (11,50 фунтов стерлингов, 15 долларов США) за один ПК с годовой лицензией, если вы выберете отсутствие технической поддержки. Если это слишком далеко, цена с поддержкой удваивается до 26 евро (23 фунта стерлингов, 30 долларов США). Оба варианта предлагают большие скидки, если вы добавите больше пользователей и продлите срок. Например, трехлетняя лицензия на три устройства с технической поддержкой стоит 87 евро (77 фунтов стерлингов, 100 долларов США).

Это еще не все (мы говорили, что это сложно). Компания действительно хочет, чтобы вы купили ее пакет безопасности Dr.Web Security Space, который дополняет пакет спам-фильтром, родительским контролем, фильтрацией URL-адресов, резервным копированием, контролем устройств и бесплатным сервисом для попытки восстановить файлы, зашифрованные программой-вымогателем. Это доступно от 14 евро (12,30 фунтов стерлингов, 16 долларов США) без технической поддержки, 28 евро (24,50 фунтов стерлингов, 32 доллара США) с такой же степенью скидки, как и антивирус.

Это еще не все, потому что Dr.Web предлагает впечатляющие скидки на продление, начиная с 40% от обычной цены. Постоянные клиенты могут сэкономить много денег.

Настройка

Доктор.Пробная версия веб-антивируса недоступна, но у компании есть загрузка своего старшего брата, антивируса Dr.Web Security Space.

Испытания бывают двух видов. Щедрая трехмесячная лицензия доступна бесплатно, если вы зарегистрируетесь, что, по сути, просто означает передачу вашего адреса электронной почты. Если вы предпочитаете хранить свои данные в тайне, месячная пробная версия не потребует от вас вообще ничего.

Наш загружаемый файл весил 350 МБ, но как только он прибыл, процесс установки был относительно простым. Еще раз предоставив нам выбор пробных вариантов, установщик оснастил наш компьютер различными компонентами, загрузил и применил несколько обновлений и предложил нам перезагрузиться.

Мы просмотрели установку Dr.Web и обнаружили компактный набор файлов, аккуратно организованных и снабженных цифровой подписью. Необычно то, что был только один очевидный сторонний компонент — спам-фильтр от Vade Secure. Это хороший знак, так как он указывает на то, что компания самостоятельно разрабатывает собственные технологии, которые должны обеспечивать слаженную работу различных компонентов.

Dr.Web использует несколько технологий для защиты своих файлов от вмешательства вредоносных программ, включая, по-видимому, «компонент гипервизора». Мы не совсем уверены, с чем это связано, но этого было более чем достаточно, чтобы защитить программу от наших простых атак. Что бы мы ни делали, процессы продолжали работать, службы отказывались останавливаться, а файлы не могли быть удалены. Dr.Web было нелегко отключить.

Возможности

Интерфейс Dr.Web — один из самых простых, которые мы видели; это немного больше, чем меню, отображаемое на значке на панели задач. По какой-то причине параметр «Сканер», который вы будете использовать чаще всего, находится в самом низу списка, но как только вы его заметили, экспресс-сканирование, полное или выборочное сканирование находятся всего в паре кликов.

Экспресс-сканирование Dr.Web не такое быстрое, как следует из его названия, действительно, проверка нашей тестовой системы заняла около девяти минут (большинство пакетов занимает около четырех-пяти минут, некоторые намного быстрее). Точность была хорошей, программа обнаруживала все, что мы ей бросали. Но внимание Dr.Web к «потенциально нежелательным программам» также привело к гораздо большему количеству сомнительных обнаружений, чем обычно, а также к выделению нашего файла HOSTS как зараженного только потому, что он не был установлен по умолчанию в Windows.

Сканирование нашего образца папки Program Files также заняло больше времени, чем у большинства конкурентов. Но опять же, все наши тщательно расставленные угрозы были обнаружены, и на этот раз обошлось без ложных тревог.

Антивирус Dr.Web, к сожалению, не имеет URL-фильтра — он зарезервирован для пакета Security Space. Это означает, что защиты от фишинга нет, хотя вредоносные программы в любом случае должны обнаруживаться с помощью обычных сканеров файлов и загрузок.

Предполагается, что в программе есть брандмауэр, но поначалу мы нигде не могли найти упоминания о нем. Мы ковырялись, искали тут и там — но ничего не нашли. Мы просмотрели локальный файл справки, который нас разочаровал: в нем говорилось о брандмауэре, но не о том, как и где его можно запустить.

Наконец, мы открыли апплет Windows «Программы и компоненты», щелкнули Dr.Web Security Space, нажали «Изменить» и нашли вариант установки брандмауэра. По какой-то причине он не был включен в нашу систему по умолчанию, но, найдя его тайник, мы смогли его опробовать.

Мы перезагрузились, и брандмауэр спросил нас, хотим ли мы разрешить определенному процессу перейти в онлайн. А потом спросил о другом. И еще, и еще. Это часть учебного процесса, и она не обязательно будет продолжаться вечно, но явно будет слишком сложной для многих пользователей. Вот, например, часть файла справки, описывающая, что делать с этими предупреждениями:

«В некоторых случаях Windows не позволяет явно идентифицировать службу, которая запускается как системный процесс. При обнаружении попытки подключения системной службы обратите внимание на порт, используемый для подключения. Если используемое приложение может обратиться к этому порту, разрешите подключение».

Обычный пользователь никак не сможет распознать системную службу и быть уверенным, что «используемое приложение может обратиться к этому порту», и понять возможные последствия отказа в подключении к тому или иному процессу. Тот факт, что это находится в файле справки — это то, что Dr.Web считает достаточным руководством для конечных пользователей по настройке брандмауэра — говорит нам, что они совсем не думают о типичных домашних пользователях.

В других местах аналогичный акцент делается на технических функциях, а не на удобстве использования. Мы рассчитывали получить доступ к журналам результатов проверки непосредственно из интерфейса Dr.Web. Вместо этого нам пришлось собирать данные из текстового файла на жестком диске, журналов событий Windows и некоторых частичных отчетов Dr.Web.

Программа предлагает некоторые компенсации для экспертов. Покопавшись в настройках, вы обнаружите несколько интересных низкоуровневых способов определить, что Dr.Web разрешает или блокирует в вашей системе.Вы хотите предотвратить редактирование файлов HOSTS, низкоуровневый доступ к диску, изменения в безопасном режиме, остановить программы, настраивающие себя для работы с Windows, или, может быть, сбросить ассоциации исполняемых файлов? Здесь есть все и даже больше.

Если вы новичок в безопасности или просто не хотите вникать в детали низкого уровня, все это не имеет большого значения. Вы по-прежнему сможете использовать основы программы без особых трудностей, но пользоваться ею не так просто, как могло бы быть.

Защита

Антивирус Dr.Web без труда обнаружил и удалил все наши тестовые угрозы, но это не все хорошие новости. Программа также выдавала много предупреждений о программном обеспечении, которое в основном или полностью безвредно.

Наши тесты могут выявить основные проблемы с пакетом, но они недостаточно полны, чтобы точно оценить уровень обнаружения антивирусных программ. Такие тесты, как Real-World Protection Test от AV-Comparatives, могут показать, что разница между уровнями обнаружения 10 лучших антивирусных программ составляет всего 0,5%, и для надежного упорядочивания этих показателей требуется тестирование сотен, даже тысяч самых последних образцов вредоносных программ на регулярно.

Сложность с Dr.Web заключается в том, что компания уже очень давно не оценивалась ни одной из крупных испытательных лабораторий (AV-Comparatives не проводила проверки с 2007 года). Просто нет никаких данных, которые помогли бы проверить возможности Dr.Web.

Учитывая это, если вы не являетесь техническим пользователем и ищете наилучшие показатели обнаружения, Dr.Web трудно рекомендовать. У нас он работал хорошо, но мы не можем с уверенностью сказать, является ли он самым точным антивирусом, пятым или десятым среди лучших.

Если вы антивирусный эксперт, который оценит возможности Dr.Web и с удовольствием проведет собственные тесты, другое дело. Здесь есть что понравиться, и компания гораздо более прозрачна в отношении методов и технологий, которые она использует, чем некоторые конкуренты. Ознакомьтесь со страницами «Технологии антивирусного ядра» и «Превентивная защита», чтобы получить представление о возможностях пакета.

Окончательный вердикт

Интересный антивирус, который сочетает в себе несколько мощных низкоуровневых технологий для обеспечения вашей безопасности. Это не для новичков, и мы хотели бы, чтобы его оценили независимые тестирующие лаборатории, но экспертам по безопасности все равно следует проверить Dr.Web Antivirus — здесь есть что понравиться.

В этом обзоре мы также выделили лучшее антивирусное программное обеспечение.

Майк начал свою карьеру в качестве ведущего разработчика программного обеспечения в инженерном мире, где его разработки использовались крупными компаниями, от Rolls Royce до British Nuclear Fuels и British Aerospace. Теперь он освещает для TechRadar VPN, антивирусы и все, что связано с безопасностью, хотя втайне он по-прежнему любит причудливые приложения с открытым исходным кодом и бесплатные приложения, которые находят совершенно новые способы решения распространенных проблем.

Сосуществование Dr.Web и файла hosts в дружеских отношениях

Четверг, 13 июля 2017 г.

И когда я включу защиту хост-файлов в Dr.Web, все изменения будут отменены.

Файл hosts — один из самых важных файлов системы. Его содержимое может быть использовано для блокировки доступа к сайтам или перенаправления пользователей на адреса, указанные злоумышленниками.

Как выглядит файл hosts после заражения системы? Кстати, иногда легитимные приложения тоже добавляют в файл свои параметры. Если вы открыли файл только для того, чтобы увидеть что-то подобное, вам нужно остановиться и подумать.

Современные вредоносные программы очень хитры: они прячут свои строки в нижней строке.

Конечно, ваш файл hosts может содержать разные адреса. Если у вас есть сомнения или ваш браузер не может получить доступ к определенному файлу, удалите все ненужные строки, кроме localhost. И один маленький совет. Вы можете исправить файл hosts с помощью бесплатной антивирусной утилиты Dr.Web CureIt! При запуске он автоматически проверяет файл на наличие избыточных записей.

Проблема в том, что антивирус не может определить, кто изменил файл и почему. Изменил ли его вручную пользователь, или его изменил хакер, получивший доступ к машине, или это сделала вредоносная программа?

Ниже вы можете увидеть пример того, как файл hosts был скомпрометирован TrojanHosts.75, что в какой-то момент доставило массу неприятностей многим пользователям. Trojan.Hosts.75 перенаправляет пользователей на мошенническую страницу, которая выглядит как связанная с социальными сетями. Здесь у посетителя создается впечатление, что администратор сайта предлагает ему зарегистрироваться в системе с помощью смс-активации. Эта мера якобы необходима в связи с резким увеличением количества спам-сообщений.

При запуске Trojan.Hosts.75 сохраняет на диск bat-файл, который, в свою очередь, изменяет файл hosts. Когда это будет выполнено, содержимое файла будет выглядеть следующим образом:

Что же делать, если вы хотите изменить файл самостоятельно?

Что же делать, если вы хотите изменить файл самостоятельно? Исключения ← Файлы и папки. По умолчанию этот раздел пуст.

Нажмите кнопку с плюсом; затем выберите Обзор и перейдите к файлу hosts (в Windows 10 расположение по умолчанию — %SystemRoot%\System32\drivers\etc).

Поставьте галочки рядом с Исключить из проверки SpIDer Guard и Исключить из проверки Сканером и нажмите ОК.

Половина дела сделана.

Но превентивная защита Dr.Web отслеживает изменения в файле в режиме реального времени (Настройки → Компоненты защиты → Превентивная защита → Изменение параметров блокировки подозрительной активности). Откройте файл hosts, добавьте вредоносную строку и попробуйте сохранить его. Чтобы открыть файл в Блокноте, выберите «Файл» → «Открыть» и перейдите в папку, в которой находится hosts. В поле со списком типов файлов выберите Все файлы и выберите файл hosts без расширения.

Это не сработало. Почему? Потому что для изменения его содержимого необходимо запустить текстовый редактор под учетной записью администратора (обязательно). Например, отредактируйте файл в блокноте. В Windows 10 начните вводить «Блокнот» в поле поиска, и как только приложение появится в результатах поиска, щелкните правой кнопкой мыши по его записи и в выпадающем списке выберите «Запуск от имени администратора».

Теперь вы можете сохранить изменения. Теперь перейдем к настройкам превентивной защиты:

Читайте также: