HOSTS:SUSPICIOUS.URL — что это за вирус и как его удалить

Что означает детект HOSTS:SUSPICIOUS.URL?

Когда ваш антивирус (например, Avast, Kaspersky, Dr.Web) выдает предупреждение «HOSTS:SUSPICIOUS.URL», это не название конкретного вируса, а обнаружение подозрительной активности, связанной с критически важным системным файлом hosts. Антивирусная программа обнаружила в этом файле несанкционированные записи, которые перенаправляют доменные имена (адреса сайтов) на IP-адреса, контролируемые злоумышленниками.

Что такое файл hosts и зачем его меняют?

Файл hosts — это простой текстовый файл в операционных системах Windows, Linux и macOS, который выполняет функцию локальной системы доменных имен (DNS). Его основная задача — сопоставлять доменные имена с IP-адресами.

Важнейшая особенность: при запросе любого сайта система сначала проверяет записи в файле hosts, и только если их там нет — обращается к интернет-серверам DNS. Это дает ему наивысший приоритет.

В нормальном состоянии файл hosts либо почти пуст, либо содержит несколько служебных записей (например, для локального хоста 127.0.0.1 localhost). Злоумышленники, используя троянцы, черви или нежелательное ПО (PUP), добавляют в него свои строки. Выглядит это так:

• До заражения: 127.0.0.1 localhost
• После заражения: добавлены строки вида 185.xxx.xxx.xxx vk.com или 94.xxx.xxx.xxx google.com

В результате, когда вы в браузере набираете адрес популярного сайта (ВКонтакте, Google, Яндекс, онлайн-банка), система, прочитав файл hosts, перенаправляет вас не на настоящий сервер, а на IP-адрес, указанный злоумышленником. Это может быть:

1. Фишинговый сайт-клон, предназначенный для кражи ваших логинов, паролей и данных банковских карт.
2. Сайт с эксплойтами, который автоматически пытается заразить ваш компьютер дополнительным вредоносным ПО.
3. Рекламная или мошенническая страница, навязывающая услуги или подписки.
4. Сервер для блокировки обновлений антивирусов и системы, чтобы защита не могла обновиться.

Как происходит заражение?

Самостоятельно файл hosts измениться не может. Для его модификации требуется административный доступ к системе. Вирус попадает на компьютер одним из классических путей:

• Скачивание и запуск «кряков» (патчей), ключей активации и пиратского ПО.
• Установка бесплатных программ из сомнительных источников, в комплекте с которыми идет нежелательное ПО (Bundled Software).
• Посещение зараженных сайтов и эксплуатация уязвимостей в браузере или его плагинах (редко, но возможно).
• Запуск вложений из спам-писем.

Попав в систему, вредоносная программа получает права администратора (часто с согласия пользователя, который не читает предупреждения) и вносит изменения в hosts.

Симптомы заражения

Помимо прямого предупреждения антивируса, о наличии проблемы могут говорить:

• Невозможность зайти на популярные сайты (соцсети, поисковики, почта), при этом другие сайты открываются.
• Сайты открываются, но выглядят странно (устаревший дизайн, просьбы повторно ввести пароль, неработающие кнопки).
• Перенаправление на рекламные или незнакомые страницы при попытке перехода на известный ресурс.
• Антивирус или Центр обновления Windows перестают работать или не могут соединиться с серверами.

Как удалить HOSTS:SUSPICIOUS.URL и восстановить файл hosts

Шаг 1: Полная проверка антивирусом

Если антивирус уже обнаружил угрозу, следуйте его инструкциям для лечения или помещения в карантин. После этого обязательно выполните полную проверку системы, чтобы найти и обезвредить основную вредоносную программу, которая вносила изменения.

Шаг 2: Восстановление файла hosts вручную (важно!)

Даже после удаления вируса изменения в файле hosts могут остаться. Их нужно исправить вручную.

1. Зайдите по пути: C:\Windows\System32\drivers\etc\ (для Windows).
2. Найдите файл с именем hosts (без расширения).
3. Щелкните по нему правой кнопкой мыши и откройте с помощью Блокнота от имени администратора (это ключевой момент!).
4. Удалите все строки, кроме служебных. Правильный файл должен содержать только что-то вроде:

   # Copyright (c) 1993-2009 Microsoft Corp.
   #
   # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
   #
   # ...
   #
   127.0.0.1       localhost
   ::1             localhost
   

5. Удалите все подозрительные строки с IP-адресами (например, 94.xxx.xxx.xxx vk.com).
6. Сохраните файл (Файл -> Сохранить).

Внимание! Если система не дает сохранить файл, убедитесь, что вы запустили Блокнот от имени администратора. Если файл автоматически возвращается к зараженному состоянию, значит, в системе остался активный вредоносный процесс — вернитесь к Шагу 1.

Шаг 3: Дополнительные меры безопасности

• Очистите кэш DNS. Откройте командную строку (cmd) от имени администратора и введите команду: ipconfig /flushdns.
• Проверьте настройки прокси-сервера в Windows (Панель управления -> Свойства браузера -> Подключения -> Настройка сети). Галочки должны быть сняты, если вы не используете прокси.
• Смените пароли от всех важных аккаунтов (почта, соцсети, банк), если вы вводили их в период, когда файл hosts был заражен. Вы могли попасть на фишинговый сайт.
• Установите и запустите сканеры-второго мнения, такие как Malwarebytes AdwCleaner или Dr.Web CureIt!, для глубокой очистки.

Как предотвратить повторное заражение?

Чтобы защитить файл hosts и систему в целом:

1. Установите и регулярно обновляйте лицензионный антивирус.
2. Не отключайте Защитник Windows (Microsoft Defender), если не используете другой полноценный антивирус.
3. Скачивайте программы только с официальных сайтов разработчиков.
4. Отказывайтесь от установки дополнительного ПО (галочки в установщиках) при инсталляции бесплатных программ.
5. Не используйте пиратский софт и «кряки».
6. Сделайте файл hosts только для чтения (правой кнопкой -> Свойства -> Только чтение), но помните, что некоторые легитимные программы (например, для родительского контроля) тоже могут его изменять.

Таким образом, HOSTS:SUSPICIOUS.URL — это серьезный сигнал о компрометации системы, который нельзя игнорировать. Своевременное лечение и восстановление файла hosts защитит ваши данные от кражи и вернет безопасный доступ в интернет.