改HOSTS 钓大“鱼”
品酷
目前,窜改系统HOSTS文件,强迫用户访问钓鱼网站的病毒急速增多,我们应高度警惕。这些病毒如何清除呢?
揭示病毒坑人的秘密
安全厂商通常将此类病毒命名为Win32/Qhost,顾名思义它们都会窜改HOSTS文件。为什么窜改HOSTS文件后,就能够将用户劫持到钓鱼网站?这就要从上网浏览原理说起,我们浏览某个网页的时候会在浏览器中输入域名,由DNS域名解析服务器解析成IP地址之后,电脑才能正确访问到网站。
而解析域名前,电脑会先检查HOSTS文件中是否有相应的IP地址,如果有就不用解析了。病毒正是利用了这一点,通过窜改HOSTS文件将知名域名指向特定的IP地址,跳过DNS解析过程,从而在用户毫不知情的情况下将用户引入钓鱼网站。
以Win32/Qhost.PCU病毒为例,首先病毒在运行以后会通过特殊手段窜改HOSTS文件(图1),包括淘宝网在内的一些知名网站会被定向到 173.252.193.43,当我们在浏览器中输入 www.taobao.com时,浏览器就会访问173.252.193.43,在后台运行的病毒检测到这个IP地址后,就以极快的速度将浏览器跳转到114la.in导航网站去(图2)。
当完成给导航网站拉流量的任务后,病毒还不收手,又将浏览器跳转到淘宝钓鱼网站(www.taobao.in),由于网址差异极小,且页面仿造得极为逼真(图3),极难分辨,一旦在此钓鱼网站购买商品就很有可能损失财产,并且由于不是在真正的淘宝网进行的交易,用户根本投诉无门!
堵住病毒来源是根本
此类病毒如何防范呢?目前,此类病毒主要通过捆绑安装的方式入侵用户的电脑,所以用户在下载破解软件、绿色软件等资源时,要用杀毒软件扫描,确定无问题后再打开。此外,尽量去知名网站下载软件,不要随意下载网友分享的软件。
如果不小心中了此类病毒(C:\Windows\System32\drivers\etc下的HOSTS文件,里面有大量域名且经常访问莫名其妙的网站,就可以断定中了此类病毒),可以这么操作:升级杀毒软件到最新病毒库,然后进行全盘扫描。如果没有解决问题,可以试试安全辅助工具,很多安全辅助工具都可以修复HOSTS文件,并清除盗号病毒。