組別——O
(字母O,代表Other即「其它」類,以下各組同屬O類)
1. 項目說明
O1代表在hosts文件中對某個網址與IP位址的映射。在瀏覽器中輸入網址時,瀏覽器會先檢查hosts文件中是否存在該網址的映射,如果有,則直接連線到相應IP位址,不再請求DNS域名解析。這個方法可以用來加快瀏覽速度,也可能被木馬等惡意程序用來開啟某些網址、遮閉某些網址。
這個hosts文件在系統中的通常位置為
C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)
注意,沒有副檔名。
該檔案的一般格式類似
219.238.233.202
www.rising.com.cn
注意,IP位址在前,空格後為網址,下一個映射另起一行。(若有#,則#後的部分作為註釋,不起作用。)
上面的例子中,瑞星的主頁www.rising.com.cn和IP位址219.238.233.202在hosts文件中互相關聯起來,一旦用戶要訪問www.rising.com.cn,瀏覽器根據hosts文件中的內容,會直接連接219.238.233.202。在這個例子中,這個219.238.233.202實際上正是瑞星主頁的IP位址,所以這樣做加快了訪問速度(省掉了DNS域名解析這一步),在好幾年前,這是一個比較常用的加快瀏覽的方法(那時上網費用高、魔電上網跑得又慢),現在這個方法用得少了。而且,這個方法有個缺陷,那就是,一旦想要瀏覽的網站的IP位址變動了,就不能正常瀏覽該網站了,必須再次改動hosts文件。這個hosts文件也可以被木馬、惡意網站等利用,它們修改hosts文件,建立一些錯誤的映射。比如把著名的反病毒軟體的網站轉發IP到無關網站、惡意網站或乾脆轉發IP到127.0.0.1(127.0.0.1就是指您自己的電腦),那麼您就打不開那些反病毒軟體的網站,清除木馬等惡意程序就更加困難,甚至連殺毒軟體都不能正常昇級。它們還可以把一些常被訪問的網站(比如google等)指向其它一些網站的IP位址,增加後者的訪問量。當然,也可以直接用此方法重轉發IP瀏覽器的搜尋頁。
2. 舉例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,預設搜尋頁(auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預設搜尋頁)被指向了216.177.73.139這個IP位址。造成每次使用瀏覽器的搜尋功能,都被帶到216.177.73.139這個地方。
下面是XP的原始Hosts文件的內容
# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
所有以#開始的行都是註釋內容,不起作用。最後一行指明本機主機(localhost)的IP位址為127.0.0.1(這是預設的)。
3. 一般建議
HijackThis報告O1項時,一般建議修復它,除非是您自己在Hosts文件中如此設定的。
4. 疑難解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中,那麼很可能感染了CoolWebSearch(跟上面提到的Lop.com一樣著名的惡意網站家族),應該使用HijackThis修複相關項。當然,別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder (CWShredder.exe)。