Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Software de seguridad de Microsoft modifica archivo HOSTS
Windows 8, próximo a lanzarse el 26 de octubre, borrará automáticamente entradas en el archivo HOSTS para dominios específicos. Por ejemplo, para prevenir intentos de acceso a Facebook, Twitter o a servidores publicitarios como ad.doubleclick.net redirigiéndolos a la dirección 127.0.0.1 por medio de las entradas correspondientes al archivo HOSTS, dichas entradas desaparecerán del archivo como por arte de magia, dejando solamente una línea vacía. Este efecto no ocurre para otros dominios, como es el caso de la hermana de The H el sitio heise.de.
El agente detrás de este fenómeno resulta ser el programa de seguridad Windows Defender, el cual estará preinstalado y activado por defecto en las nuevas versiones de Windows. La razón se hace evidente al inspeccionar el historial de Windows Defender, se puede acceder entrando desde el menú inicio/Defender y haciendo clic en la pestaña del historial. Si Windows Defender está convencido que ha descubierto una modificación potencialmente maliciosa en el archivo HOSTS, entonces la registra en 'SettingsModifier:Win32/PossibleHostsFileHijack'.Microsoft Security Essentials (MSE) en versiones anteriores de Windows también se encargaba de restablecer las entradas para estos dominios. Esto no es particularmente sorprendente, ya que Windows Defender en Windows 8 es esencialmente una versión mejorada de MSE.
De hecho el malware, con frecuencia crea entradas maliciosas en el archivo HOSTS para redirigir a los usuarios a servidores alternativos cuando intentan acceder a sitios como facebook.com. Estos servidores pueden alojar sitios phishing que envian los datos introducidos por el usuario a estafadores de Internet. La eliminación de las entradas en el archivo HOSTS para los servidores de redes sociales, que muchos usuarios utilizan como una simple pero efectiva forma de bloquear dichos sitios, puede resultar del hecho de que el malware también hace uso del archivo HOSTS para desviar las consultas de servidores publicitarios legítimos a sus propios servidores maliciosos. Esto permite a los estafadores mostrar sus páginas maliciosas en los sitios web de terceros.
Los usuarios que de alguna forma deseen seguir usando el archivo HOSTS para los dominios afectados y conocidos hasta el momento pueden agregar la ruta del archivo (c:\windows\system32\drivers\etc\hosts) a la lista de excepciones del MSE o al Windows Defender. La configuración correspondiente se puede encontrar en "Settings, Excluded files and locations". Por supuesto, esto también significa que el programa antivirus ya no detectará las modificaciones maliciosas para el archivo HOSTS.
