Cómo limpiar el archivo hosts

Una de las amenazas que hemos mencionado periódicamente en el blog son los troyanos bancarios del tipo Qhost. Estos, son una familia de amenazas que explotan una técnica denominada pharming local, alterando la información de DNS (sistema de nombres de dominio) en los sistemas infectados para direccionar a los usuarios a sitios maliciosos sin que este lo note.

Una de las particularidades de esta amenaza es la facilidad con la que pueden ser creadas nuevas variantes. Por lo tanto, regularmente aparecen más versiones de esta familia de amenazas que es detectada por ESET NOD32 como Win32/Qhost.[variante].

Una de las preguntas que nos realizan los usuarios con frecuencia es cómo se puede limpiar el archivo hosts que modifica el malware al infectar un sistema. Los pasos que deben realizarse para limpiar este archivo son los siguientes:

1. Buscar la carpeta donde se aloja el archivo hosts. En sistemas operativos Microsoft Windows, podrán encontrarlo en C:WindowsSystem32driversetc.

2. Hacer doble clic en el archivo, el sistema consultará al usuario con qué aplicación abrie el mismo. Seleccionar el bloc de notas (notepad) como se muestra aquí.

Archivos Hosts

3. A continuación se observará el archivo hosts, del cual se describen tres secciones:

Archivos Hosts

a. Esta sección es la de comentarios. Estas líneas son a modo informativo (comentarios) y no influyen en la configuración del sistema.
b. La íinea indicada en esta sección es la que viene configurada por defecto en todos los sistemas. Su presencia es correcta y no influye.
c. Si más allá de la línea anterior, aparecen otras (importante: que no han sido agregadas ex-profeso por el administrador del sistema), es probable que el sistema esté infectado. Más aún si los dominios que aparecen en el sector derecho de la línea corresponde a una entidad financiera o bancaria. En este caso, la imagen muestra un sistema infectado con la variante Win32/Qhost.NJP que afecta bancos mexicanos.

4. Eliminar las lineas agregadas por el troyano con el editor de texto.

5. Guardar el archivo y cerrarlo.

Con estos sencillos pasos, el sistema no direccionará incorrectamente a los dominios afectados por la amenaza y el archivo hosts estará limpio.

También es posible encontrar el archivos hosts en plataformas UNIX (o Linux) y MAC OS. En ambos casos, la ruta donde frecuentemente se aloja en la ruta /etc/hosts. Cabe mencionar que en cualquier sistema operativo, la modificación de este archivo queda restringida por defecto a usuarios con permisos administrativos.

Aunque los usuarios que posean una solución antivirus estarán protegidos ante esta familia de troyanos, el mismo no puede ser ejecutado con éxito si el usuario está logueado en el sistema con una cuenta con permisos limitados. Vale entonces la oportunidad para recordar que es una buena práctica utilizar una cuenta de usuario sin permisos administrativos en el uso cotidiano de la computadora.

Recuerden que pueden encontrar más información sobre esta técnica en nuestro artículo titulado ataques de pharming local.

Sebastián

es posible encontrares posible encontrar

Autor , ESET

  • Edgar Fanod32

    Hola,
    Yo he tenido ese problema sin embargo me paso peor el arvhivo host no queria guardarse sin embargo realice otros pasos y me gustaria compartirlo.
    Primero descargue un tal hoster el cual restaura el archivo host, posteriormente segui unos pasos en el cual seria muy tardado explicarlo aqui :) asi que les dejo un enlace si me lo permiten
    http://www.forospyware.com/t25530-3.html#post225208
    Aqui es donde lo saque muxos hemos tenido este problema y como antes les venia preguntando de el SYSInspector me marcaba eso y no lo podia reparar y hasta ahora todo me a ido super bn
    Espero tambn les haya servido mi info y grax por tenerno informados ademas de su nueva version de nod32 4.0.467.0 Salu2

  • Pingback: Cómo limpiar el archivo hosts | Info Spyware()

  • Pingback: Cómo limpiar el archivo hosts | Noticias Informáticas()

  • Ivan

    Hola, estoy revisando mi Host y me llebo la sorpresa qué tengo.

    64…..170 pagum.com
    64…..170 http://www.pagum.com
    64…..170 http://www.viabcp.com
    64…..170 viabcp.com
    64…..170 http://www.bcpzonasegura.viabcp.com
    64…..170 bcpzonasegura.viabcp.com
    64…..170 http://www.bbvabancocontinental.com
    64…..170 bbvabancocontinental.com
    64…..170 http://www.peb1.bbvanetlatam.com
    64…..170 peb1.bbvanetlatam.com

    Esté el Win32/Qhost.NJP, :O debo solucionarlo lo más antes posible ^^

    Saludos.

  • Tomas

    Necesito ayuda tengo ese mismo problema, ubicado en C:WINDOWSsystem32driversetc, borro las lineas, guardo el archivo y cuando lo vuelvo a abrir ya estan devuelta. Alguna solucion? Muchas gracias

  • Pingback: Video de supuesto romance entre Shakira y Alexis … | Fotos Musica()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Cibercriminales propagan tres códigos maliciosos dirigidos a usuarios brasileños()

  • Pingback: Troyano Neurevt | Reverendo's Blog()

  • Pingback: Ayuda! Malware detectado!()

  • Pingback: Internet lento, muchos TCP y UDP()

  • Pingback: Al abrir google chrome me sale un buscador :(()

  • Christian

    A mi me pasó y por más que busqué en internet no encontré ninguna solución válida, por lo que recurrí a mi propia lógica.
    Lo que pasaba era que siempre se me borraba el archivo host por ese maldito y supuesto troyano, por mas programas antyspyware y antitroyanos, siempre pasaba lo mismo.
    La solución: pues creé un archivo de texto SIN EXTENSIÓN (se llamaba igual, hosts) y fui copiando las líneas que me interesaban (activación del nero, adobe, etc.) y cuál fue la sorpresa? que al irle copiando las líneas descubrí que el antivirus salta al guardar el archivo que se llame hosts (sin extensión como lo dije al principio) y que tenga las líneas de activación para el Nero:

    • Hola Christian:
      En situaciones así, puedes comunicarte con soporte@eset-la.com para que le demos seguimiento a tu causa y poderlo solucionar rápidamente.

      Saludos,
      Gastón

  • Leandro Aude

    Seguí las instrucciones y me aparece, antes de lo que sería la línea c: “Start of entries inserted by Spybot – Search & Destroy”, que es un antispyware que tengo instalado. ¿Qué debo hacer? Gracias desde ya.

    • Lucas Paus

      Estimado Leandro, el producto que estás utilizando agrega muchas líneas más de dominios maliciosos, con el objetivo de bloquear la comunicación a estos sitios. No debieras preocuparte si están apuntados a tu local host (127.0.0.1). Cualquier línea que no esté dirigida hacia esa IP deberías eliminarla y guardar los cambios. Saludos.

Síguenos