Файл hosts — это вирус? Нет, это системный файл

Прямой и короткий ответ на вопрос пользователя: файл hosts сам по себе НЕ является вирусом. Это легитимный, важный и абсолютно нормальный системный файл, который существует в операционных системах семейства Windows, Linux и macOS уже несколько десятилетий. Его основная задача — выполнять преобразование доменных имен (например, yandex.ru) в IP-адреса (например, 77.88.55.60).

Для чего нужен файл hosts?

Файл hosts — это простой текстовый файл без расширения, который работает как локальная база данных доменных имен. Когда вы вводите адрес сайта в браузере, операционная система сначала проверяет записи в файле hosts, и только если там нет нужной информации, обращается к DNS-серверам в интернете.

Изначально он был предшественником современной системы DNS. Сегодня его используют для:

  • Блокировки нежелательных сайтов (например, рекламных или социальных сетей) на домашнем компьютере или в корпоративной сети.
  • Перенаправления доменов на другие IP-адреса, что полезно веб-разработчикам и системным администраторам для тестирования.
  • Ускорения доступа к часто посещаемым ресурсам, прописывая их IP напрямую.

Стандартное расположение файла в Windows: C:\Windows\System32\drivers\etc\hosts.

Почему hosts ассоциируют с вирусами?

Проблема в том, что злоумышленники знают о приоритете этого файла перед DNS. Поэтому многие вирусы, трояны, рекламное ПО (adware) и мошеннические программы целенаправленно изменяют содержимое hosts, добавляя в него вредоносные записи. Это простой и эффективный способ контролировать сетевое поведение системы.

Как вирусы используют файл hosts?

  • Блокировка доступа к сайтам антивирусных компаний и центров обновления Windows, чтобы помешать удалению вредоносного ПО.
  • Перенаправление на фишинговые сайты. Например, когда вы пытаетесь зайти на сайт банка, вирусная запись в hosts отправляет вас на точную, но поддельную копию, созданную мошенниками для кражи логинов и паролей.
  • Подмена рекламы или вставка навязчивой рекламы на легитимных сайтах.
  • Блокировка социальных сетей или поисковых систем в составе вредоносных программ-блокировщиков.

Таким образом, опасность представляет не сам файл hosts, а его несанкционированное изменение вредоносным программным обеспечением.

Как проверить, не заражен ли ваш файл hosts?

Проверить файл hosts на наличие подозрительных записей может любой пользователь. Для этого:

  1. Откройте файл Блокнот (Notepad) от имени администратора (клик правой кнопкой → «Запуск от имени администратора»).
  2. В меню «Файл» выберите «Открыть» и перейдите по пути: C:\Windows\System32\drivers\etc.
  3. В диалоговом окне выберите «Все файлы (*.*)» и откройте файл hosts.

Нормальное, «чистое» содержимое файла в Windows 10/11 выглядит примерно так:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# ...
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost

Тревожные признаки заражения

Вас должно насторожить, если после строк с localhost вы видите многочисленные записи, перенаправляющие популярные домены на непонятные IP-адреса (особенно начинающиеся с 127.0.0.1, 0.0.0.0 или на адреса в чужих сетях). Например:

  • 127.0.0.1 kaspersky.com drweb.com — попытка заблокировать антивирусы.
  • 185.56.84.21 vk.com — перенаправление соцсети на чужой IP.
  • Огромный список (сотни строк) с адресами рекламных, поисковых и социальных сетей.

Что делать, если hosts изменен вирусом?

  1. Запустите полную проверку системы надежным антивирусом или антивирусным сканером (например, Dr.Web CureIt!, Kaspersky Virus Removal Tool).
  2. Очистите файл hosts. Откройте его, как описано выше, удалите все строки, кроме служебных комментариев и строк с localhost. Сохраните файл.
  3. Защитите файл от изменений. Установите для файла hosts атрибут «Только для чтения» (свойства файла → вкладка «Общие»). Это не панацея, но усложнит работу простым вирусам.
  4. Используйте специализированные утилиты, такие как Microsoft's Malicious Software Removal Tool (MSRT), которые, среди прочего, восстанавливают стандартный hosts.

Профилактика

Чтобы избежать проблем в будущем:

  • Установите и регулярно обновляйте антивирус.
  • Не запускайте подозрительные файлы и программы из непроверенных источников.
  • Своевременно устанавливайте обновления операционной системы.
  • Периодически проверяйте содержимое файла hosts.

Вывод: Файл hosts — это не вирус, а важный инструмент системы. Но его уязвимость и простота модификации делают его излюбленной мишенью для злоумышленников. Понимание принципа его работы и умение проверить его содержимое — ключевой навык для обеспечения безопасности вашего компьютера.

Источники