host路徑在哪里（linux系統hosts文件位置）

Sophos 剛剛報道了一款名叫 Vigilante 的惡意軟件，但其行為卻讓許多受害者感到不解。與其它專注于偷密碼、搞破壞、或勒索贖金的惡意軟件不同，Vigilante 會通過修改 Hosts 文件來阻止受害者訪問包括海盜灣（The Pirate Bay）等盜版資源網站。與此同時，它還會下載第二款名叫 ProcessHakcer.jpg 的惡意軟件，但它其實是一個可執行文件。

截圖（來自：Sophos）

對于有一定計算機技能的網友來說，修改 Hosts 文件是阻止計算機訪問特定 Web 服務的一個“簡單粗暴”的方法。

不過 Vigilante 并不會持久維護這份 Hosts 黑名單，除非受害者第二次運行了這款惡意軟件。

從進程監視器的日志記錄來看，某個偽造身份的惡意軟件篡改了系統自帶的 Hosts 文件。

我們無法辨別該惡意軟件到底是從哪來的，但它的動機似乎很明確 —— 阻止受害者訪問盜版軟件網站。

惡意軟件自帶的黑名單，涵蓋了 1000+ 的網站域名，并將之 IP 地址重定向到了本地回路（127.0.0.1）。

通過進一步的分析，Sophos 指出某些惡意軟件會將自己偽裝成各種軟件包的盜版副本，然后托管在 Discord 這樣的游戲或聊天服務器上。

另外也有一些惡意軟件會通過 BT 渠道進行分發，比如假冒成熱門游戲、生產力工具、甚至安全軟件。

但如果仔細觀察，你會發現它們往往夾帶了一些私貨（附有其它可疑的文件）。

在 VirusTotal 上檢索相關樣本時，可以發現數以百計的不同名稱，比如《求生之路 2》（v2.2.0.1 Last Stand + DLCs + MULTi19）和《我的世界》（1.5.2 破解版 [Full Installer] [Online] [Server List]”。

不過托管在 Discord 上的共享文件，往往是單獨的一個可執行文件，而通過 BT 打包來分發的方式，則更類似于傳統的盜版途徑（添加到一個壓縮包中，包含一個文本文件、其它輔助文件、以及指向盜版網站的鏈接）。

在惡意軟件夾帶的可執行文件中，有一些還偽造了數字簽名。但在證書簽發機構這一欄，都是一長串的 18 個隨機大寫字母。

至于證書的有效期，大部分文件都是從下載首日開始算起的，到期日則是 2039 年 12 月 31 日。

惡意可執行文件的屬性表，同樣與惡意軟件的真身不符。即便大多數都自詡為某款游戲、或生產力軟件的全功能已授權副本的安裝程序，但惡意軟件制作者似乎并不在意這些細節。

如果在受害者計算機上順利運行，用戶能感知到的時間也非常短暫。在雙擊過后，它會彈出一條“缺乏 MSVCR100.dll”而無法啟動程序的提示，并建議重裝以修復該問題。

通過進程監視器，Sophos 安全研究人員發現它根本沒有調用過 WindowsAPI 來查詢這個動態鏈接庫文件，意味著該惡意軟件只是在虛張聲勢。

而且就算你的系統里已經有 MSVCR100.dll，這對話框還是會無腦地彈出。當然，Vigilante 也不是完全“沒干正事”，比如它會在運行時檢查能否建立出站網絡連接。

可以的話，Vigilante 會嘗試聯系 1flchier[.]com 這個域名上的某個網址（注意并不是云存儲服務提供商 1fichier 的克隆，第三個字符是 l 不是 I）。

諷刺的是，即使惡意軟件會對這些請求使用相同的用戶代理（User-Agent）字符串（Mozilla/5.0 Gecko/41.0 Firefox/41.0），但被其篡改的 Hosts 文件竟然也阻止了受害者訪問合法的 1fichier 域名。

此外該惡意軟件樣本執行了兩個 HTTP GET 請求，其一是搜索名為 ProcessHacker.jpg 文件（輔助可執行負載），其二是通過查詢字符串，將運行的可執行文件的名稱發送給網站運營者。

此外 ProcesserHacker 的二進制文件也表現出了一些有趣的特性，比如設置了
whoareyoutellmeandilltellyouwho 這個互斥鎖，以確保只會運行自身的一份副本。

最后，如果創建了一個零字節的“7686789678967896789678”和“412412512512512”文件，并將之放到特定的 %PATH% 文件路徑，Vigilante 就不會在啟動時篡改 Hosts 文件。