HijackThis - Analyse des lignes O1 - Hosts file redirection

HijackThis - Analyse des lignes O1 - Hosts file redirection

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Les lignes O1
Les lignes O1 d'une analyse HijackThis font ressortir une exploitation maligne du fichier Hosts :
Le fichier Hosts et son usage en matière de sécurité de la navigation est longuement expliqué dans le chapitre Hosts.


Emplacements analysés
HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs)
HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
Pour O1
Base de registre
Pour les versions de Windows disposant d'une base de registre, la valeur de DataBasePath, dans la clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
pointe vers le répertoire contenant hosts

Fichier
Contenu du fichier Hosts lui-même (Voir Emplacement de votre fichier Hosts selon votre système d'exploitation)

Nota :
HijackThis signale un emplacement anormal du fichier hosts par une ligne du type :
O1 - Hosts file is located at C:\Windows\Help\hosts


Usage / Signification
Pour O1
Rappelons que hosts (qui est un DNS local) permet de bloquer l'accès à des sites Internet ou accélérer l'accès à d'autres. Les criminels du Net peuvent modifier votre fichier hosts dans deux buts :

  1. Un hijacker peut inscrire dans votre fichier hosts le blocage d'accès aux sites et aux forums de sécurité et de décontamination des ordinateurs ainsi que le blocage d'accès aux sites d'antivirus, anti-spyware, pare-feux (et, plus généralement, aux sites qu'il entend bloquer). Par exemple, les lignes suivantes, inscrites dans hosts, bloqueront l'accès à assiste.com, aux forums d'assiste.com et au site de l'antivirus kaspersky
    127.0.0.1 assiste.com
    127.0.0.1 assiste.forum.free.fr
    127.0.0.1 kaspersky.com

    Plus généralement, si l'adresse IP indiquée est 127.0.0.1 (ou, parfois, 0.0.0.0) il s'agit d'un hijack vous interdisant d'aller sur le domaine (les domaines d'origine des anti-hijacker HijackThis et CWShredder, les domaines de ceux qui en font la promotion ou en sont un miroir, les sites des éditeurs d'antivirus, d'anti-trojan et de nombreux sites majeurs de sécurité sont ainsi bloqués par certains hijackers afin de vous empêcher de vous en sortir, de trouver la solution).

  2. Un hijacker peut diriger l'accès à un domaine vers un autre domaine de son choix en indiquant une adresse IP hébergeant son site à la place de la machine hébergeant réellement le site que vous cherchez à atteindre. Si le site google.com se trouve sur la machine 209.85.173.99, une ligne hosts comme :
    209.85.173.99 google.com est légitime (et accélère l'accès à ce domaine) mais un hijacker peut modifier hosts et inscrire :
    69.50.166.11 google.com
    Vous serez alors systématiquement dirigé vers la machine 69.50.166.11 chaque fois que vous tenterez l'aller sur google.com. D'une manière générale, ce hijack redirigera toutes vos requêtes faites à certains noms de domaine (partie droite de la liste hosts) vers l'adresse IP indiquée en face (partie gauche de la liste hosts). Si l'adresse IP n'est pas celle du domaine, vous serez redirigé vers un usurpateur chaque fois que vous tenterez d'aller sur ce domaine.

    Avec, dans hosts, la ligne 216.177.73.139 ieautosearch, toute demande d'aller sur le site ieautosearch est redirigée vers la machine 216.177.73.139 qui héberge le site usurpateur igetnet.com.

Un fichier hosts peut être immense (plusieurs dizaines de milliers de lignes) et HijackThis n'a aucun moyen de vérifier si ce qui y est inscrit est de votre fait ou du fait d'un hijacker. HijackThis signale quelques sites présent dans hosts et ne liste pas un fichier hosts en totalité.


Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked")
Pour O1
O1 - Hosts: 69.50.166.11 www.google.com
O1 - Hosts: 69.50.166.11 google.com
O1 - Hosts: 69.50.166.11 www.google.co.uk
O1 - Hosts: 69.50.166.11 google.co.uk
O1 - Hosts: 69.50.166.11 www.google.ca
O1 - Hosts: 69.50.166.11 google.ca
O1 - Hosts: 69.50.166.11 www.google.es
O1 - Hosts: 69.50.166.11 google.es
O1 - Hosts: 69.50.166.11 www.google.de
O1 - Hosts: 69.50.166.11 google.de
O1 - Hosts: 69.50.166.11 www.google.fr
O1 - Hosts: 69.50.166.11 google.fr
O1 - Hosts: 69.50.166.11 www.google.com.au
O1 - Hosts: 69.50.166.11 google.com.au
O1 - Hosts: 69.50.166.14 www.yahoo.com
O1 - Hosts: 69.50.166.14 yahoo.com
O1 - Hosts: 66.218.75.184 mail.yahoo.com
O1 - Hosts: 69.50.166.12 www.msn.com
O1 - Hosts: 69.50.166.12 msn.com
O1 - Hosts: 69.50.166.12 search.msn.com
O1 - Hosts: 69.50.166.12 www.go.com
O1 - Hosts: 69.50.166.12 go.com
O1 - Hosts: 69.50.166.13 astalavista.com
O1 - Hosts: 69.50.166.13 www.astalavista.com
O1 - Hosts: 69.50.166.13 astalavista.box.sk
O1 - Hosts: 69.50.166.13 cracks.am
O1 - Hosts: 69.50.166.13 www.cracks.am

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 127.0.0.1 www.spywareinfo.com
O1 - Hosts: 1123694712 auto.search.msn.com

Signalement de l'emplacement anormal d'un fichier Hosts :
O1 - Hosts file is located at C:\Windows\Help\hosts


Que faire ? Boite à outils HijackThis
Pour O1
Pour les éléments O1 :
Supprimez ("Fix checked") toutes les lignes O1 dont le couple IP <> domaine est inconnu
Supprimez ("Fix") toutes les lignes que vous savez ne pas avoir introduites dans votre liste hosts.
Supprimez ("Fix checked") tous les fichiers hosts de substitution
Lire hosts pour comprendre le fonctionnement de cette liste.

Hijack dans le genre O1 - Hosts file is located at C:\Windows\Help\hosts
Typique d'un parasite appelé CoolWebSearch appliqué à un système Windows 2000/XP. Il s'agit d'un faux fichier Hosts. Toujours supprimez ("Fix checked") cet item ou utiliser CWShredder pour le réparer automatiquement (destruction de la clé de la base de registre dirrigeant vers le faux fichier hosts - ne pas oublier de détruire ensuite, manuellement, le faux fichier hosts lui-même, à l'emplacement anormal).

Hijack dans le genre 1123694712 auto.search.msn.com
L'adresse IP est camouflée (codage décimal au lieu de codage IPv4. Ceci est, techniquement, légitime, mais vous empêche de faire un NSLookup. Il faut décoder cette adresse pour retomber sur une adresse en IPv4. Dans l'exemple, l'adresse IP exprimée en décimal, 1123694712, correspond à l'adresse IP en IPv4 66.250.56.120. Pour faire ce décodage, le plus simple est d'utiliser le mode "debug" de CWShredder.

Suggestion si vous avez un doute sur votre fichier hosts actuel :
  1. Assurez-vous que la valeur de DataBasePath, dans la clé
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    pointe vers le répertoire contenant hosts (Voir Emplacement de votre fichier Hosts selon votre système d'exploitation) - Editer votre base de registre avec regedit s'il le faut
  2. Détruisez purement et simplement votre fichier hosts actuel
  3. Installez notre fichier hosts (Assiste.com maintient un fichier hosts depuis de nombreuses années)
Nota :
Vous pouvez éditer (modifier / corriger / compléter) votre fichier hosts très simplement avec le bloc-notes de Windows.

Voir les outils à utiliser pour la section O1 dans la Boite à outils HijackThis





Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
10.03.2005 Révision
19.03.2005 Révision
28.04.2005 Révision
26.05.2006 Révision
19.07.2007 Up V4 + Révision 2.0.2 Trend
28.07.2007 à 12.08.2007 Ré-écriture complète du tutoriel HijackThis
 
   
Rédigé en écoutant :
Music