Nous battons l'ennemi avec sa propre arme
jeudi 29 septembre 2016
Le fichier hosts joue un rôle important lorsque les pirates tentent de nous pousser à visiter des pages Web dans leur intérêt. Des manipulations de ce fichier permettent notamment de bloquer l'accès aux sites des éditeurs d'antivirus.
A quoi sert le fichier hosts ? C'est un fichier dans lequel sont enregistrées des entrées établissant le rapport entre les noms de ressources Web et leurs adresses réseau. Il permet notamment dâaccéder aux diverses ressources sans utiliser de services externes ainsi que dâaccélérer le téléchargement des sites Web.
Le contrôle de la modification du contenu du fichier hosts est effectué à lâaide de la Protection préventive au sein de Dr.Web Security Space.
Mais le fichier hosts est une "épée à double tranchant" qui peut se retourner contre les cybercriminels, car dans les mains dâun utilisateur expérimenté, il vous permet de bloquer lâaccès aux sites pirates. Pour bloquer lâaccès à une ressource indésirable, il suffit d'ajouter à la fin de ce fichier une chaîne comme suit "127.0.0.1 URL_de_la_ressource_à _bloquer". Le résultat est que lors de la tentative de télécharger une ressource bloquée, le système va essayer de la charger depuis l'ordinateur local (dont l'adresse prédéfinie est 127.0.0.1) où, bien évidemment, la ressource n'est pas présente. Par conséquent, le site web indésirable ne sera pas téléchargé.
Mais la modification du fichier hosts ne sert pas uniquement la lutte contre des ressources non désirables. Comme chacun le sait, les virus modernes sont souvent gérés de l'extérieur.
Exemple : pour déterminer lâadresse IP de lâutilisateur, Black Shades consulte le site http://icanhazip.com. Cette particularité de Black Shades comporte également un moyen permettant de le contrer. Il suffit d'ouvrir le fichier hosts et d'y ajouter la chaine 127.0.0.1 www.icanhazip.com . Si un malware n'arrive pas à se connecter à icanhazip.com, il cesse de fonctionner de manière inopinée et affiche un message d'erreur (dans l'illustration ci-dessous).
Le fichier hosts est un simple fichier texte dont chaque ligne correspond à un enregistrement. Le format classique d'enregistrement se présente comme suit :
Adresse IP Nom de domaineéventuel commentaire
Dans presque tous les systèmes dâexploitation (sauf Windows 7 et 8, où il n'y a que des commentaires), la première entrée est :
127.0.0.1 localhost
Cela signifie que l'adresse IP 127.0.0.1 correspond au nom de domaine localhost, c'est l'adresse locale du système.
Attention ! Par défaut, sous Windows, il se trouve dans is%windir%\system32\drivers\etc\hosts. Les pirates peuvent modifier ce chemin. Toutefois, vous êtes en mesure de le rétablir vers la valeur par défaut. Dans cet exemple, pour simplifier, nous supposons que le chemin du fichier correspond à la valeur par défaut.
Vous pouvez ouvrir le fichier en cliquant sur Démarrer-Exécuter (la même fenêtre peut être appelée par la combinaison de touches Win+R), dans la fenêtre qui apparaît Exécutez le programme, dans le champ Ouvrir, entrez notepad % SystemRoot %\ system32 \ drivers \ etc \ hosts et cliquez sur ÐÐ. Vous pouvez également ouvrir le fichier dans nâimporte quel éditeur de texte.
Si vous ouvrez le fichier manuellement, veuillez noter que l'attribut "Caché" peut lui être assigné. Pour afficher ce type de fichiers, il faut, dans Les propriétés du dossier, activer lâoption Afficher les fichiers et dossiers cachés).
Attention ! Souvent les malfaiteurs ajoutent des enregistrements hors des limites de la fenêtre affichée du bloc-notes Windows en utilisant les lignes vides. Après avoir ouvert le fichier, veuillez toujours vérifier s'il y a une barre de défilement (ascenceur) et faites défiler la fenêtre de sorte que vous puissiez afficher tout.
Règles de lâédition du fichier hosts
- Chaque élément doit être sur une ligne distincte.
- Lâadresse IP doit commencer avec la première position de la ligne (dans la même rangée) et devrait être suivie par le nom dâhôte correspondant.
- Lâadresse IP et le nom dâhôte doivent être séparés par au moins un espace.
- Les commentaires doivent être précédés du symbole #.
Si les commentaires sont utilisés dans les lignes de correspondance entre adresses IP et noms de domaine, ils doivent suivre le nom du nÅud et être séparés du nom du nÅud par un caractère #.
Si vous n'arrivez pas à enregistrer le fichier, vous devez vous logger dans le système en tant quâadministrateur ou lancer le bloc-notes au nom de lâadministrateur puis modifier le fichier.
Il existe deux façons de le faire.
Via la ligne de commande (sous Windows 10), en cliquant droit sur l'icône .
Choisissez Ligne de commande (administrateur) et dans la fenêtre qui sâouvre, tapez (ou copiez) la ligne :
notepad C:\Windows\System32\drivers\etc\hosts
Dans ce cas, le bloc-notes Windows sera lancé avec les privilèges administrateur et vous permettra dâapporter des modifications au fichier hosts.
Apportez les modifications et enregistrez le fichier (Fichier → Enregistrer).
Ouvrez un éditeur de texte en tant quâadministrateur manuellement.
Allez dans le dossier qui contient le fichier exécutable de lâéditeur de texte, par exemple bloc-notes (cette partie de lâinstruction peut également être appliquée aux autres éditeurs de texte comme Notepad ++). Admettons que le fichier exécutable de Bloc-notes se trouve dans C:\Windows\system32. Cherchez le fichier notepad.exe.
Cliquez droit sur le fichier et sélectionnez Exécuter en tant quâadministrateur.
Sélectionnez Fichier → Ouvrir. Dans la fenêtre qui apparaît, allez dans le dossier C:\Windows\System32\drivers\etc. Sélectionnez dans le coin inférieur droit Tous les fichiers et ouvrez hosts.
Apportez les modifications nécessaires et enregistrez le fichier.
Attention ! Si après avoir enregistré le fichier et/ou après le redémarrage, vous n'arrivez pas à ouvrir certains sites ou que certains sites vous affichent le contenu que vous ne souhaitiez pas afficher, il se peut qu'un programme malveillant fonctionne sur le système et quâil vérifie périodiquement et modifie le contenu du fichier hosts.
Pour consulter les statistiques dâaccès aux différentes ressources et choisir celles qui méritent d'être enregistrées dans le fichier hosts, cliquez sur l'icône et sélectionnez le nom de l'utilisateur dans le menu de l'Agent Dr.Web.
Le projet Lumières sur la sécurité recommande
Mais il existe un moyen plus facile !
Si vous souhaitez bloquer l’accès à certaines ressources Internet, utilisez les listes blanches et noires du Contrôle parental de Dr.Web Security Space, dans ce cas, vous pouvez configurer des règles d’accès pour les différents utilisateurs de l'ordinateur.
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
razgen
22:24:54 2018-07-13
Bernard
22:35:36 2016-09-30