Cómo limpiar el archivo hosts

Cómo limpiar el archivo hosts

Una de las amenazas que hemos mencionado periódicamente en el blog son los troyanos bancarios del tipo Qhost. Estos, son una familia de amenazas que explotan una técnica denominada pharming local, alterando la información de DNS (sistema de nombres de dominio) en los sistemas infectados para direccionar a los usuarios a sitios maliciosos sin que este lo note.

Una de las particularidades de esta amenaza es la facilidad con la que pueden ser creadas nuevas variantes. Por lo tanto, regularmente aparecen más versiones de esta familia de amenazas que es detectada por ESET NOD32 como Win32/Qhost.[variante].

Una de las preguntas que nos realizan los usuarios con frecuencia es cómo se puede limpiar el archivo hosts que modifica el malware al infectar un sistema. Los pasos que deben realizarse para limpiar este archivo son los siguientes:

1. Buscar la carpeta donde se aloja el archivo hosts. En sistemas operativos Microsoft Windows, podrán encontrarlo en C:\Windows\System32\drivers\etc.

2. Hacer doble clic en el archivo, el sistema consultará al usuario con qué aplicación abrir el mismo. Seleccionar el bloc de notas (notepad) como se muestra aquí.




3. A continuación se observará el archivo hosts, del cual se describen tres secciones:


a. Esta sección es la de comentarios. Estas líneas son a modo informativo (comentarios) y no influyen en la configuración del sistema.

b. La íinea indicada en esta sección es la que viene configurada por defecto en todos los sistemas. Su presencia es correcta y no influye.

c. Si más allá de la línea anterior, aparecen otras (importante: que no han sido agregadas ex-profeso por el administrador del sistema), es probable que el sistema esté infectado. Más aún si los dominios que aparecen en el sector derecho de la línea corresponde a una entidad financiera o bancaria. En este caso, la imagen muestra un sistema infectado con la variante Win32/Qhost.NJP que afecta bancos mexicanos.

4. Eliminar las lineas agregadas por el troyano con el editor de texto.

5. Guardar el archivo y cerrarlo.

Con estos sencillos pasos, el sistema no direccionará incorrectamente a los dominios afectados por la amenaza y el archivo hosts estará limpio.

También es posible encontrar el archivos hosts en plataformas UNIX (o Linux) y MAC OS. En ambos casos, la ruta donde frecuentemente se aloja en la ruta /etc/hosts. Cabe mencionar que en cualquier sistema operativo, la modificación de este archivo queda restringida por defecto a usuarios con permisos administrativos.

Aunque los usuarios que posean una solución antivirus estarán protegidos ante esta familia de troyanos, el mismo no puede ser ejecutado con éxito si el usuario está logueado en el sistema con una cuenta con permisos limitados. Vale entonces la oportunidad para recordar que es una buena práctica utilizar una cuenta de usuario sin permisos administrativos en el uso cotidiano de la computadora.

FUENTE

Valido para Windows XP/Vista/7

Había estado pensando en alguna aplicación en batch, que analizase el "hosts" al inicio, nos alertara si este estuviese modificado y lo limpiase.

Pero para simplificar al máximo, y ya que solo existe una linea realmente útil en el archivo "127.0.0.1 localhost", la que nos apunta a nosotros. Nos va a ser mas sencillo y practico si copiamos y pegamos este código en "INICIO-EJECUTAR"

Código:

cmd /k cd %windir%\system32\drivers\etc&&del /f /q host&&echo  127.0.0.1      localhost > hosts&&attrib +r +s hosts&&msg * hosts ha sido limpiado&&exit

Os voy a explicar que hace exactamente:

cmd /k ---------------------------------------Abre el cmd
cd %windir%\system32\drivers\etc--------Va a la carpeta del archivo "hosts"
del /f /q host----------------------------------borra el archivo hosts
echo 127.0.0.1 localhost > hosts-------crea el nuevo archivo hosts
attrib +r +s hosts-----------------------------le da atributos de solo lectura y sistema
msg * hosts ha sido limpiado----------------manda un mensaje en pantalla
exit---------------------------------------------cierra la ventana del cmd
&& ---------------------------------------------Esto son saltos de linea

Si queremos podemos crear nuestro propio programa para usarlo cuando queramos con solo doble click.
El code es tan pequeño que cabe dentro de un "acceso directo".

Damos en: "BOTÓN DERECHO-NUEVO-ACCESO DIRECTO", en "ubicación " metemos el code, y en "nombre" le damos un nombre.

También lo podemos convertir en un "bat", pegando el code en un block de notas y guardando el documento como "nombre.bat"

Saludos Hybrid.

Relacionado: Cómo modificar el archivo hosts en Windows 7

Cuando un@ quiera modificar el archivo Host y no pueda debe de seguir la ruta (ya sabéis):

C:\Windows\System32\drivers\etc.

Cuando entréis en esa carpeta e intentéis modificarlo sin éxito, lo copiáis y al escritorio. Doble clic sobre él y elegir abrir con el bloc de notas, allí modificáis lo que sea. Le damos a archivo, guardar y luego cortar y pegar en la carpeta etc reemplazándolo.


Venga, un saludo ¡Eh!

No hace falta mandarlo al escritorio aguasalada; simplemente se sigue esa ruta y le damos clic derecho al archivo hosts y elegimos "abrir"... nos preguntará con que programa deseamos abrirlo y elegimos el bloc de notas.
También podemos pasar el programa HostsXpert y con él dejarlo en sus valores por defecto.
Reponer Host: baja HostsXpert
http://www.trucoswindows.net/descargas/hostsxpert/
Creá una carpeta : C:\HostsXpert
Descomprime el programa acá: C:\HostsXpert
Haz clic en HostsXpert.exe para que se inicie el programa
Click "Make Hosts Writable?" si aparece esto arriba a la derecha
Click Restore Microsoft's Hosts file y OK
Click en X para cerrar el programa.
Reinicia el ordenador.

Saludos.

¡JA!

Bueno JA no, dejémoslo en JE ya que con ese programa no lo he hecho pero créeme si te digo que estuve un buen rato intentando encontrar la manera de modificarlo

Si sigo esa ruta, doy clic derecho al archivo hosts y elijo "abrir"... me pregunta con que programa deseo abrirlo y elijo el bloc de notas.
Sí, hasta ahí todo correcto. El problema es que cuando quiero guardar me decía que no tenía permiso del administrador. No sé que pasaba...

Luego intenté hacerlo así:
Abrí Símbolo del Sistema como administrador y fui siguiendo la ruta:CD DRIVERS (intro), CD ETC (intro) y cuando quiero poner EDIT.COM me dice que "tururú"
¡No tengo EDIT! Es más, creo que no existe en mi W7.

En fin, el resumen es que lo he hecho llevándolo al escritorio.

He pensado que aunque sea "la rara" del mundo mundial, por alguna parte puede aparecer otra persona igual que yo (cosa poco probable pero bueno...), así que me he decidido a postear en este tema "mi solución" que seguro será una perogrullada.

Mira, de todas formas a mi me viene bien postearla y que tu hayas echado más luz al asunto. La próxima vez la buscaré aquí, "en casa", en lugar de comerme la cabeza por internet adelante.


Venga, un saludo y gracias ¡Eh!


PD: Si molestan estos últimos posts míos, podéis separarlos para otro tema nuevo. No sé... Como está en manuales....
¡Ah! Y perdonar y sobre todo paciencia ¿Vale?