Процессу запрещено изменять файл hosts Dr.Web как отключить?

Файл hosts в Windows могут менять сами пользователи или программное обеспечение. На компьютерах с установленным антивирусом Dr. Web эта операция заблокирована. Рассказываем почему так происходит и как изменить настройки не отключая защиту.

Структура и назначение запрещенного к изменению файла hosts

Файл hosts в Windows – это обычный текстовый файл, используемый для сопоставления имени хоста с IP-адресами. Он действует как локальная таблица поиска DNS (Система Доменных Имен), позволяя переопределить разрешение DNS по умолчанию и указать пользовательские ассоциации IP-адресов для конкретных доменных имен. Файл расположен в каталоге Windows по адресу System32\drivers\etc.

Hosts не имеет какого-либо расширения, но допускает возможность изменения, в том числе, с помощью самых примитивных текстовых редакторов типа Блокнот. Чтобы вносить правки, потребуются права администратора.

Добавляя записи в hosts, можно управлять IP-адресом, который операционная система использует для доступа к конкретным доменам. Это бывает полезно для различных целей, таких как блокирование доступа к определенным веб-сайтам путем перенаправления их на несуществующий или локальный IP-адрес, или для тестирования веб-сайтов путем указания доменного имени на другой IP-адрес.

Каждая строка в файле hosts обычно состоит из IP-адреса, за которым следует одно или несколько разделенных пробелами доменных имен или имен хостов.

В этом примере IP-адрес «127.0.0.1» связан с именем хоста «localhost». По умолчанию эта запись присутствует в файле hosts, сопоставляя адрес обратной связи с локальным компьютером.

Можно добавлять свои собственные записи, вписывая строки в файл hosts. Чтобы сделать это, вам нужно будет открыть файл с помощью текстового редактора с правами администратора, внести необходимые изменения, а затем сохранить файл. Любые изменения, внесенные в файл hosts, вступают в силу немедленно.

Обратите внимание, что изменение файла hosts следует выполнять с осторожностью, так как неправильные записи или неправильные настройки могут нарушить сетевое подключение или снизить уровни конфиденциальности и безопасности пользователя.

Это может оказаться полезным: Можно ли удаленно подключиться к компьютеру без ведома пользователя?

Почему Dr.Web запрещает процессам изменять файл hosts

Запрет на изменение файла hosts, связан с тем, что вредоносный код может подменить процесс разрешения DNS на компьютере пользователя. Например, он может связывать законные доменные имена с вредоносными IP-адресами, перенаправляя пользователя на поддельные веб-сайты или фишинговые страницы, похищая конфиденциальную информацию: пароли, платежные данные кредитных карт и многое другое.

Вот список последствий, с которыми могут столкнуться пользователи при несанкционированном изменении файла hosts.

1. Принудительный показ рекламы в ходе загрузки и работы операционной системы, браузеров и другого программного обеспечения.
2. Блокирование обновлений антивирусных баз данных и операционной системы, что делает машину более уязвимой для дальнейших заражений и компрометаций.
3. Перенаправляя домены, используемые программным обеспечением безопасности, на недопустимые IP-адреса, вредоносная программа может помешать антивирусу отправлять отчеты системы безопасности, что облегчает сохранение вируса незамеченным.
4. Вредоносный код маршрутизирует трафик на определенные веб-сайты, контролируемые злоумышленниками и мало отличимые от порталов онлайн-банкинга, служб электронной почты или социальных сетей, а также на поддельные сайты-двойники. Все эти страницы предназначены лишь для кражи учетных данных или личной информации.

Таким образом, крайне важно обеспечить безопасность файла hosts. Чем и занимается антивирус Dr. Web.

Конфигурация, при которой Dr.Web не изменяет файл Hosts

За состоянием hosts следит SpiDer Guard модуль Dr.Web. Наблюдение ведется в реальном времени. Кроме того, содержимое файла сопоставляется с образцовой версией и в процессе сканирования. Обнаружив изменения, антивирус детектирует вмешательство в системные процессы и классифицирует угрозу как DFH.HOSTS.corrupted. После чего, модифицированный файл заменяется исходным.

Если необходимо внести изменения в hosts рекомендуется предварительно добавить файл в исключения компонентов SpiDer Guard и Сканер.

1. Запустите интерфейс настройки «Центра безопасности Dr. Web».
2. Нажмите на значок с замком.
3. Подтвердите принятое решение.
4. Перейдите в раздел «Исключения».
5. Нажмите на значок «Плюс» в секции «Файлы и папки».
6. С помощью кнопки обзор во вспомогательном окне Проводника укажите местоположение объекта.
7. Отметьте галочками пункты, в которых предлагается исключить файл из проверки обоих модулей.

Исключение для файла hosts в компоненте «Превентивная защита» в Dr.Web

В более новых выпусках Dr.Web, начиная с версии 12.0, за состоянием hosts наблюдает еще один компонент – «Превентивная защита». Чтобы иметь возможность редактировать файл, понадобиться дополнительная настройка.

1. Запустите интерфейс настройки антивируса Dr. Web «Центр безопасности».
2. Откройте страницу конфигурации «Превентивной защиты».
3. Проследуйте в «Поведенческий анализ».
4. ВО вкладке «Уровень защиты» и в параметре «Файл Hosts» установите маркер выбора в столбец значений «Разрешать».
5. С этого момента Dr. Web перестанет препятствовать изменениям, вносимым в файл hosts, но завершив редактирование, стоит переключить параметр, отметив чекбокс в столбце «Блокировать».

Прописав в исключениях модулей Dr. Web любой объект, пользователь предоставляет потенциальную возможность менять внутреннее содержимое, будь то текст или программный код, любому запущенному в операционной системе процессу, запросившему доступ. Именно поэтому, крайне важно, чтобы компонент «Превентивная защита» непрерывно отслеживал в режиме реального времени попытки изменения файла и при обнаружении блокировал, уведомляя пользователя.