Meldung von Antivirenprogramm: "Zu ihrer Sicherheit wurde der Zugriff auf die Hosts-Datei blockiert". Was hat das zu bedeuten?
2 Antworten
Die HOSTS-Datei ist ein Überbleibsel aus früheren Zeiten, in denen die Namensauflösung im Netzwerk (Zuordnung PC-/Server-Name zu einer IP-Adresse) noch manuell gepflegt werden mußte. Sie wird heute zwar nicht mehr zwingend benötigt, funktioniert aber immer noch wie eh und je.
Die Datei kann nur mit Admin-Rechten bearbeitet werden. Hat man diese Hürde gemeistert, kann man sich die Funktionsweise vor Augen führen, indem man beispielsweise eine Zeile mit dem Inhalt
127.0.0.1 www.google.de
in die Datei eingibt.
Resultat: Man wird mit dem PC ab sofort die Webseite "www.google.de" nicht mehr aufrufen können, da das automatische Auflösen des Namens "www.google.de" (z. B. zur korrekten IP "172.217.22.131") überschrieben wird durch die eingetragene IP "127.0.0.1". Damit laufen Anfragen des Browsers o.ä. an diese Adresse ins Leere (bzw. als sogenanntes Loopback auf den PC selbst zurück). Folglich: "Die Webseite kann nicht angezeigt werden."
Die Funktion der HOSTS-Datei ist zwar wie bereits gesagt eigentlich schon lange überflüssig, aber sie funktioniert noch immer. Dies kann man sich z. B. zunutze machen, wenn man beispielsweise den Besuch bestimmter Webseiten verbieten will... nehmen wir als Beispiel eine böse, böse Webseite namens "www.boeseboeseseite.de", welche die eigenen Kinder eben nicht besuchen können sollen. Dann trägt man in die HOSTS-Datei ein
127.0.0.1 www.boeseboeseseite.de
und ab sofort kann diese Seite von diesem PC aus nicht mehr aufgerufen werden.
Nun gibt es aber auch andere Anwendungsfälle... und Malware o.ä., die beispielsweise dafür sorgen will, daß z. B. alle Suchanfragen bei Google protokolliert werden sollen... oder Surfgewohnheiten oder was auch immer. Dann besteht eine Möglichkeit darin, aufrufe an (in diesem Beispiel) "www.google.de" an einen Webserver der bösen Jungs umzuleiten. Dieser Webserver (insbesondere die dann angegebene IP-Adresse) existiert im Normalfall auch und er gibt auch ganz brav die Suchergebnisse usw. der Google-Webseite zurück. Da dieser Server aber von den bösen Jungs kontrolliert wird, können sie alle Suchanfragen mitlesen und/oder sogar eigene, manipulierte Suchergebnisse unterjubeln.
Nur als grob nachvollziehbares Beispiel... es sind noch ganz andere Sachen möglich.
Ein anderer, nicht ganz sauberer Einsatzzweck ist, einer illegalen Software-Kopie das "Telefonieren nach Hause" zu verbieten, damit die Software nicht herausfinden kann, daß sie illegal erworben wurde bzw. illegal betrieben wird. Z. B. das Office-Paket von Microsoft... es prüft regelmäßig, ob der Lizenzschlüssel in Ordnung und noch gültig ist, indem es in regelmäßigen Abständen bestimmte Microsoft-Server kontaktiert und dort "nachfragt". Will man diese Nachfrage unterbinden, könnte man einen entsprechen Eintrag in der HOSTS-Datei machen, der eben diese Anfrage ins Leere laufen läßt.
Auch als Filter für Werbung auf Webseiten läßt sich die HOSTS-Datei "mißbrauchen". Viele Webseiten zeigen Werbung, die sie über mehr oder weniger bekannte Werbe-Agenturen schalten lassen. Beispielsweise kommt Werbung für Autos, Kleidung Potenzmittel usw. typischerweise nicht vom Server des jeweiligen Anbieters (Mercedes, BMW, VW, ...) selber, sondern von den Servern der beauftragen Werbe-Agenturen. Kennt man die Servernamen dieser Werbe-Agenturen, kann man Anfragen an diese Servernamen nach dem oben gezeigten Schema ins Leere laufen lassen... mit dem Ergebnis: Wenn du Webseiten besuchst, werden dir deren Werbe-Banner nicht mehr angezeigt. Ein sehr schöner Effekt und eine sehr sinnvolle Nutzung der HOSTS-Datei!
Im Netz finden sich viele Anbieter von Listen mit Werbeservern, deren Adresse man in seine HOSTS-Datei kopieren kann, so daß man vor deren Werbemüll geschützt ist. Auch HOSTS-Listen mit Servern, über die statt Werbung gerne Malware verbreitet wird, finden sich reichlich. Zum Beispiel:
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
http://sysctl.org/cameleon/hosts
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://hosts-file.net/ad_servers.txt
Man kann die Funktion der HOSTS-Datei also sowohl für gute als auch für schlechte Zwecke nutzen... wie fast alles in dieser Welt.
Wenn dein Virenscanner also meldet, daß der Zugriff auf die HOSTS-Datei verhindert wurde, ist das erst mal eine gute Nachricht. Denn es gibt nur wenige Fälle, in denen eine Änderung an der HOSTS-Datei tatsächlich sinnvoll und gewollt ist.
Die logische nächste Frage wäre aber jetzt: Wer (welches Programm) wollte an der HOSTS-Datei etwas ändern?
Praktisch wäre es, wenn dein Virenscanner dir das sagen würde... etwa so etwas wie "Programm XY wurde der Zugriff auf die HOSTS-Datei verwehrt".
Anhand dessen kann man dann entscheiden, ob alles gut ist, oder ob Grund zur Sorge besteht, daß auf deinem System ein unerwünschter Besucher (in Form einer Malware) wütet, der dort Unfug treibt..
Die Hostdatei ist die Datei, in der DNS Einträge getätigt werden können. Kannst du mal den Inhalt von der Hostdatei in diesem Pfad posten?
C:\system32\drivers\etc