Как уже обычно на одном из компьютеров кто-то у нас успел поймать зловреда, который либо не пускал на сайты “Вконтакте” и “Одноклассники” или же странным образом спрашивал ввести пароль для доступа к ним ? Так как такой стечение обстоятельств мне уже сильно знакомо, то сразу решил проверить вначале кэш-днс командой ipconfig /flushdns (для первоначальной очистки кэша) и ipconfig /displaydns (для его отображения). В результате вижу вот такую картинку:
Как видите, зловред перенаправлял нас на фишинговую страницу не только популярных российских соц.сетей, но а также некоторых игроков банковского сектора в лице “Сбербанка России”, а также Альфа-Банка (ниже). После такой картины Репина сразу захотелось залезть в уже родную директорию C:Windows\System32\drivers\etc и просмотреть файл hosts, что я и сделал. И как вы думаете, что я обнаружил? Вот эта картина:
И ничего интересного (как вы видите) я не заметил ? Все чисто тут, откуда тогда берутся в кэше-днс неправильные A-записи? Пришлось пойти другим путем и воспользоваться всегда помогающей мне утилитой Марка Руссиновича “Process Monitor”. Запустил ее, очистил кэш, проверил кэш и начал высматривать события которые успели пройти в системе за это время. И вот что я увидел:
Как видно, в той же самой директории C:Windows\System32\drivers\etc происходила большая активность совсем с другим файлом. Очень уж странно это показалось, так как его не было видно в системе через проводник никаким образом (даже с включенным условием показа скрытых и системных файлов). Я естественно решил проверить любым способом этот файл и что же мы там увидим? :))
Вот и наши все записи, которые каким-то образом попадали в систему. Ну да ладно, мне не интересно стало выяснять это, просто можно стирать все эти записи, либо удалять сам файл и после этого кэш-днс не забивается неправильными значениями и сайты открываются именно те, которые хочешь. Спасибо, удачи в поисках других зловредов ?