Я запустил netstat -a на компьютере и обнаружил несколько странных элементов:
Proto Local Address Foreign Address State
TCP netgym:epmap virusin:0 LISTENING
TCP netgym:microsoft-ds virusin:0 LISTENING
TCP netgym:netbios-ssn virusin:0 LISTENING
Итак, я проверил файл hosts, и он все испортил странными вещами. Ниже представлена точная копия файла hosts за вычетом примерно 100 похожих записей. Каждый адрес обрезается после 7 символов.
0.0.0.0 virusin
0.0.0.0 www.vir
0.0.0.0 project
0.0.0.0 www.pro
0.0.0.0 novirus
0.0.0.0 www.nov
0.0.0.0 www.ant
0.0.0.0 zeustra
0.0.0.0 www.zeu
0.0.0.0 www.mal
Я не добавлял ни одной из этих записей в hosts.
Кто-нибудь видел что-то подобное раньше? Это опасно? Есть ли способ, которым перенаправление на 0.0.0.0 могло вызвать проблемы?
Изменить: дополнительная информация
Я закомментировал первую строку файла hosts, и теперь внешний адрес, на который пытается перейти моя машина, является третьим в списке: «проект». Разве все мои службы не должны идти на локальный хост?
Одна из возможных вещей, которую может сделать вредоносное ПО, - это изменить ваш файл hosts, как вы это видите.
0.0.0.0 не является допустимым IP-адресом (он используется в большинстве API TCP / IP для обозначения любого адреса). Однако установка для записи в файле hosts значения 0.0.0.0 - это способ сделать этот веб-сайт недоступным.
Похоже, что то, что вы вставили, обрезано по краю, поэтому я не могу сказать наверняка, но подозреваю, что это вредоносное ПО. Если вы попытаетесь перейти по указанным выше адресам, время ожидания вашего браузера истечет. Это может быть попытка запретить вам заходить на веб-сайты для загрузки средств удаления вредоносных программ или получения дополнительной информации о них.
Законная программа, изменяющая файл hosts, будет оставлять комментарии в файле и идентифицировать себя, что, честно говоря, крайне редко. Итак, я предполагаю, что это вызвано каким-то вредоносным ПО.
Каждый раз, когда в вашем файле hosts появляется что-то, чего вы туда не помещали, я бы очень встревожился. Я видел инфекции, которые перенаправляли огромное количество сайтов обновлений антивируса на 127.0.0.1, эффективно отрезая пользователя от обновлений. Это похоже на что-то похожее, поэтому я бы немедленно запустил сканирование на вирусы / вредоносные программы с помощью различных инструментов, поскольку вы, скорее всего, чем-то заражены.