Ejemplo de desInfección del archivo Hosts de Windows

Ver el tema anterior Ver el tema siguiente Ir abajo

Ejemplo de desInfección del archivo Hosts de Windows

Mensaje  r32 el Sáb Oct 15, 2011 7:57 pm

Sobre el Archivo hosts.

Wiki:
El archivo hosts de un ordenador es usado por el sistema operativo para guardar la correspondencia entre dominios de Internet y direcciones IP. Este es uno de los diferentes métodos que usa el sistema operativo para resolver nombres de dominios. Antiguamente cuando no había servidores DNS que resolvieran los dominios, el archivo hosts era el único encargado de hacerlo, pero dejó de utilizarse cuando Internet empezó a crecer en nombres de dominio, pasando a usar servidores de resolución de DNS. En muchos sistemas operativos este método es usado preferentemente respecto a otros como el DNS. En la actualidad también es usado para bloquear contenidos de Internet como la publicidad web.

El archivo hosts es un archivo de texto plano que puede ser editado por el administrador del equipo. Este archivo es tradicionalmente llamado
"hosts" y su ubicación depende del sistema operativo:
Solo Windows

Win 95/98/Me: C:\Windows\hosts
Win NT/2000/2003: C:\Winnt\System32\drivers\etc
Win XP/Vista/7: C:\WINDOWS\System32\drivers\etc

En este caso el malware modificó el archivo de hosts para redireccionar toda petición del navegador, página de inicio, etc.
Podemos encontrar dos casos de infección, las que modifican el fichero hosts sin modificar los priviliegios y las que modifican este último para que
nadie pueda trastear en él, esto sería un "archivo de sistema".

Aqui una captura modificando el archivo hosts como archivo de sistema y así protegerse:



En este caso los archivos .backup estan ocultos al administrador y no hay problemas para eliminarlos o empaquetarlos con el winrar para su posterior análisis, pero el archivo hosts no se deja eliminar de ninguna forma.

Para resolver el problema de la modificación sobre el archivo hosts, primero probé de eliminar el archivo en el reinicio del sistema con "Unlocker" y el
resultado fué negativo. Tras esto copié un archivo de hosts limpio y procedí a eliminar el ficher de sistema hosts con la utilidad antirrotkit GMer. Para eliminarlo no hace falta reiniciar el pc.
Ejecutar el GMer y clickar sobre las flechas junto al texto de la primera pestaña, elegimos Files y buscamos el nuestro disco, la ruta donde se ubica el fichero de hosts. Una vez ubicado, procedemos a eliminar el archivo modificado, selecionadolo y clickando sobre la opción "Delete"



Aqui dejó un hosts limpio:

Código:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
#      102.54.94.97    rhino.acme.com          # servidor origen
#      38.25.63.10    x.acme.com              # host cliente x

127.0.0.1      localhost

Hay que guardarlo en un bloc de notas como archivo y sin extension con el mismo nombre.

Una vez eliminado, pegar el archivo limpio en la misma ruta.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.