¿Qué significa esta entrada en el archivo hosts? 192.168.3.2 NPI2A54EA

13

Tomé el control de una PC con Windows 7 de un desarrollador y en el archivo de hosts había esta entrada:

192.168.3.2 NPI2A54EB

¿Alguien sabe por qué esto se ingresaría allí y si esto podría ser un virus o estaría relacionado con el trabajo del desarrollador (solo puedo consultarlo con él la próxima semana nuevamente)? (Estoy un poco preocupado de que pueda ser un virus, pero lo he comprobado con varios programas antivirus y se ve limpio).

windows-7  virus  hosts  hosts-file 
ManOnAMission
fuente
3
No es un virus NPI2A54EBes un nombre de host para una máquina que solo existe en la red local.
Ramhound
2
bueno, la dirección IP está en un rango privado, y el nombre no es un FQDN y, más que nada, generalmente no utiliza el archivo host para ningún otro propósito. su resolución se localiza en el host que posee el archivo.
Frank Thomas
44
@ManOnAMission - "192.168.3.2" no puede existir fuera de su red local. Por NPI2A54EBlo tanto, debe pertenecer a una máquina en dicha red. Desde un punto de vista técnico no hay absolutamente ninguna diferencia entre NPI2A54EBy localhostque existen en el archivo de host de cada máquina Windows con una conexión de red. Hay cero posibilidades de que sea un virus, ¿cómo puedo estar tan seguro de que pregunte ?, una simple razón por la cual la dirección IP no existe fuera de la red para que el "virus" no pueda hablar con nada, excepto lo que está encendido la red
Ramhound
1
@Ramhound Quisiera decir que si se 192.168.3.2tratara de una máquina infectada, un virus podría usarla como una especie de retransmisión. He visto, y he limpiado, algunas locuras para que nunca sepas.
JakeGould
3
@JakeGould, cierto, pero un malware también podría vaciar la papelera de reciclaje. eso no implica que cuando se vacía una papelera de reciclaje, es razonable suponer que el malware es un vector probable, probable o incluso remotamente probable. Dado que el Op pregunta específicamente sobre un virus, debemos señalar que no se encuentra entre las 10 causas más razonables.
Frank Thomas

Respuestas:

25

Lo más probable es que "NPI2A54EB" sea (¿era?) Una impresora HP conectada a la red, ya que parece seguir su convención de nomenclatura JetDirect predeterminada.

Aquí hay algunos de los nuestros, por ejemplo / comparación: NPI191832, NPI4B6E05, NPI907B3F, NPI95393C, NPIB80D5E, NPIB81360, etc.

De los servidores de impresión HP Jetdirect de HP: opciones de configuración de Jetdirect a utilizando servidores DHCP, WINS y DDNS :

Normalmente, un HP Jetdirect que recibe una dirección DHCP registrará el nombre de host predeterminado NPIxxxxxx del HP Jetdirect en el servidor WINS. (xxxxxx = los últimos 6 dígitos de la dirección MAC de Jetdirect).

Probablemente puesto en el archivo Hosts por el instalador del controlador / utilidad de HP

Ƭᴇcʜιᴇ007
fuente
2
NPI = interfaz de impresora de red. Acabo de agregar esa información a mi respuesta mientras publicabas esta respuesta.
JakeGould
8

Respuesta más corta

Mi conjetura es que hosts entrada es solo un atajo del desarrollador que configuró previamente la máquina para su comodidad y no es nada de qué preocuparse. Si de alguna manera le preocupa esta entrada específica, simplemente comente esa línea en el hostsarchivo, reinicie la máquina y continúe. Quizás revise el hostsarchivo nuevamente al reiniciar para ver si de alguna manera una acción de virus / malware recreó dicha entrada nuevamente. Pero no estaría demasiado preocupado por eso.

FWIW, el NPI de NPI2A54EBsimplemente podría significar “Red de interfaz de la impresora” y que la entrada podría haber sido creado por un controlador de impresora instalar o alguna otra cosa conectada a la necesidad de que el ordenador portátil para conectarse a un sistema de gestión de la impresora en una red de área local.

Respuesta larga

¿Alguien sabe por qué esto se ingresaría allí y si esto podría ser un virus o estaría relacionado con el trabajo del desarrollador (solo puedo consultarlo con él la próxima semana nuevamente)? (Estoy un poco preocupado de que pueda ser un virus, pero lo he comprobado con varios programas antivirus y se ve limpio).

Si tomaste prestado el sistema de un desarrollador y estás preocupado por esto, mi instinto me dice que no me preocupe. No estoy muy seguro de qué tipo de "desarrollo" está haciendo este desarrollador que mencionaste, pero en el mundo del desarrollo web es bastante común verhosts archivos editados para permitir el desarrollo web local mientras se usa un nombre de host para facilitar las cosas y hacer que los sitios / aplicaciones se comporten más como sitios del mundo real.

Por ejemplo, si estuviera trabajando en el desarrollo del sitio web para example.commi escritorio local, podría crear una entrada como esta en mi hostsarchivo para permitir lo que acabo de describir:

127.0.0.1   example_dev

O tal vez algo como example.local:

127.0.0.1   example.local

Dicho eso NPI2A54EB parece un nombre de host extraño que no facilitaría la vida de muchas personas. Para mí, se analiza como un nombre de máquina asignado que un departamento de TI asignaría al hardware. ¿O tal vez dirigir el tráfico a algún servidor o dispositivo de red interno?

Si todo esto te pone nervioso, esto es lo que puedes hacer. Solo edite el hostsarchivo así. Cambie esa línea a esto:

#192.168.3.2 NPI2A54EB

Luego reinicie su máquina y verifique el hostsarchivo nuevamente. Eso #comentará que extrañohosts entrada y neutralizará efectivamente. La lógica es que si la máquina está infectada con algo como un virus o malware, esa línea se descomentará bastante rápidamente al reiniciar.

Y si algo se rompe debido a este cambio, ahora sabe que había algo que el sistema necesitaba para esa entrada y debería descomentarlo.

Pero, sinceramente, dudo en comentar que la entrada romperá algo. Como dije, si se trata de un virus / malware y ese es un factor clave, lo descubrirá rápidamente al reiniciar ... Pero dudo que de eso se trate esa entrada. Es muy probable que sea un acceso directo de DNS del servidor interno al desarrollador que originalmente usaba la configuración de la máquina para su conveniencia y que no le preocupa.

JakeGould
fuente
1
IIRC, con Windows 7 (y Vista?), Ya no necesita reiniciar para que los cambios surtan efecto; Solo necesita reiniciar la aplicación. ¿O tal vez eso fue solo Chrome?
Cole Johnson
@ColeJohnson Quizás ese sea el caso, pero no uso Windows regularmente, así que no puedo decirlo. Diré por experiencia en TI, un reinicio no cuesta nada, toma menos de un minuto y luego puedo confirmar que el cambio ocurrió. Dependiendo de los usuarios finales con los que trato, a veces fomento un reinicio ya que hace que algunas personas sientan que han hecho algo "pesado" para resolver un problema con seguridad.
JakeGould
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.