специально для вас

Ответ от Мозг[гуру]
Всё это интересно, и вирмейкеры давно об этом знают. Потому сейчас используют чаще другой способ. Всем известно, что в файле hosts надо проверять в первую очередь. Но как обмануть пользователя. чтоб он смотрел в hoste, и всё было чисто, а контакт и другие ресурсы всё равно не открывались? А очень просто. Надо подменить не записи в файле hosts, а сам этот файл подменить на другой, расположенный в другой директории. Если точно, то в реестре, вот в таком ключе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters есть параметр DataBasePath. Он как раз и указывает, где расположены файлы для интернет-соединений. Так вот, по-умолчанию он указывает на %SystemRoot%system32driversetc .
Но никто не мешает поменять его значение на другое, например, на c:windows. А в папке windows создать другой, левый hosts. И в нём добавить любые нужные строчки, и к тому же сделать файл скрытым. На все эти манипуляции в скрипт-файле уйдёт строчек 10 - 15. А главная задача - чтоб пользователю подсунуть этот скрипт. Тут уж каждый придумывает свой вариант.
Сколько раз помогал людям избавляться от этой проблемы, в большинстве случаев был именно описанный мной вариант.
Кроме ключа HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters
нужно ещё проверить ключи
HKEY_LOCAL_MACHINESYSTEMControlSet002servicesTcpipParameters
и
HKEY_LOCAL_MACHINESYSTEMControlSet001servicesTcpipParameters.
В них тоже есть параметр DataBasePath.