Описание и принцип работы троянских приложений семейства Trojan.Hosts.
Антивирусные компании предупреждают общественность об увеличении количества взломанных сайтов, которые злоумышленники используют для распространения троянских приложений семейства Trojan.Hosts.
В начале текущего года масштабы распространения данной угрозы приняли характер эпидемии.

Троянцы Trojan.Hosts
Пик активности вируса был зафиксирован в январе и середине февраля – тогда ежесуточно фиксировалось порядка 9500 новых заражений. В марте троянская программа инфицирует порядка 8000 ПК в день.
Для взлома сайта используется протокол FTP, при помощи которого злоумышленники подключаются к интернет-ресурсу при помощи украденных ранее паролей и логинов.
Далее на взломанный ресурс загружается командный интерпретатор (шелл), который редактирует файл .htacess. На страницы сайта встраивается вредоносный скрипт.
При открытии зараженной страницы посетителю демонстрируются ссылки на различные вредоносные утилиты.
Стоит отметить, что Trojan.Hosts распространяется не только при помощи взломанных сайтов.
Злоумышленники даже организовали полноценную партнерскую программу, предлагая хакерам получить вознаграждение за распространение вируса. Таким образом, данный вид вредоносного приложения может попасть на компьютер различными путями – при помощи троянцев-загрузчиков и бэкдоров.
Основное назначение данного вируса – редактирование системного файла hosts, который отвечает за трансляцию интернет-адресов. После редактирования файла hosts, пользователь вместо популярных сайтов (социальные сети, поисковые системы и т.д.) перенаправляется на сайты злоумышленников.
Большая часть модификаций троянского приложения известна антивирусным программам. К тому же, большинство популярных антивирусов способны отслеживать изменения в файле hosts, выдавая соответствующее оповещение.
При необходимости можно вручную отредактировать данный файл, расположенный в каталоге Windows\System32\Drivers\etc\, удалив из него лишние строки.
Также рекомендую изучить следующие уроки этого раздела:

Светлана! Хорошо бы ВЫ показали, как должна выглядеть запись файла host.
подскажите пожалуйста что с моим компьютером?вот пишет что виндоус диск отсутствует и вот еще что..exseption processing messege
Спасибо Светлана за предурреждение.Предупрежден значит вооружен.Только наверно эти трояны могут делать ложный файл Host, а зараженный делать скрытым.
а как засечь это на своем компе? Какие строки надо удалять? Хотя бы пример приведите, пожалуйста.
Windows\System32\Drivers\etc\, удалив из него лишние строки
А КАК ВЫГЛЯДЯТ ЛИШНИЕ СТРОКИ?
…При необходимости можно вручную отредактировать данный файл, расположенный в каталоге Windows\System32\Drivers\etc\, удалив из него лишние строки…
Светочка,и как это сделать,что есть “лишние строки” и как их удалить правильно ,не “прихватив” нужного?
С уважением Т.В.
Светлана, спасибо за статью!
Научите,пожалуйста, по-подробнее, как это -вручную отредактировать этот файл…
Спасибо.
Все бы хорошо, но последний абзац “удалив лишние строки” уж больно расплывчив. А нельзя точнее, какие из них лишние, а какие нет?
Думала, что найду более подробную информацию о том как вычислить эту программу у себя на компьютере и какие именно строки удалять надо. Если будет время, напишите пожалуйста. А то ведь, Россия отличается дураками:).
“… Windows\System32\Drivers\etc\, удалив из него лишние строки.”
Ну-ка угадайте, какой вопрос следует? Правильно! А какие строки там лишние?
Вот, пример моего:
# AutoGenerated by Microsoft (R) Malware Protection Engine.
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 serial.alcohol-soft.com
127.0.0.1 http://www.alcohol-soft.com
127.0.0.1 images.alcohol-soft.com
127.0.0.1 trial.alcohol-soft.com
127.0.0.1 alcohol-soft.com
С уважением! Eugen