Файл расположен по пути C:\Windows\System32\drivers\etc\hosts
и может редактироваться только администратором устройства.
Данный файл используется для сопоставления имен хостов с IP-адресами без использования системы доменных имен (DNS).
Обычно файл используется для блокировки нежелательных сайтов, за счет указания редиректа на IP-адреса 127.0.0.1 или 0.0.0.0.
Например, если вы добавите следующую строку в файл HOSTS, то пользователи Windows не смогут получить доступ к www.google.com, Браузер посчитает, что пытаетесь подключиться к 127.0.0.1, т.е. к адресу локального компьютера.
127.0.0.1 www.google.com
Microsoft стала помечать файлы HOSTS, которые блокируют телеметрию Windows
С конца июля пользователи Windows 10 стали сообщать, что встроенная антивирусная программа «Защитник Windows» стала распознавать измененные файлы HOSTS как угрозу SettingsModifier:Win32/HostsFileHijack.
Если пользователь выбирает опцию «Подробнее», то антивирус сообщит, что устройство затронуто критической угрозой “SettingsModifier:Win32/HostsFileHijack” из категории Изменение параметров, которая является потенциально опасной.
Впервые о проблеме стало известно из блога BornCity. Хотя обнаружение взломов HOSTS не является чем-то неординарным, количество затронутых пользователей действительно поражало.
Массовые заражения нередко встречались раньше, но с текущим уровнем безопасности WIndows 10 все это было странно. Казалось, что это ложное срабатывание или безвредная проблема.
После тестирования оказалось, что срабатывание возникало после внесения в файл HOSTS правил для блокировки серверов телеметрии Windows 10. Даже при попытке сохранить изменения в файле отображалось предупреждение «Содержит вирус или потенциально нежелательное ПО». Также появлялись уведомления, что компьютер заражен SettingsModifier:Win32/HostsFileHijack.
По всей видимости, Microsoft недавно обновила сигнатурные определения Защитника Windows и настроила распознавание правил блокировки серверов телеметрии в файле HOSTS.
Таким образом, пользователи, которые блокируют телеметрию через HOSTS, получили предупреждение о заражении файла.
При тестировании были установлены домены, на которые реагирует Защитник Windows в файле HOSTS:
www.microsoft.com microsoft.com telemetry.microsoft.com wns.notify.windows.com.akadns.net v10-win.vortex.data.microsoft.com.akadns.net us.vortex-win.data.microsoft.com us-v10.events.data.microsoft.com urs.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.ppe.telemetry.microsoft.com vsgallery.com watson.live.com watson.microsoft.com telemetry.remoteapp.windowsazure.com telemetry.urs.microsoft.com
Если вы решите удалить угрозу, то Windows восстановит стандартный файл HOSTS.
Конечно, пользователи, которые таким способом блокируют телеметрию в Windows 10, могут проигнорировать угрозу, но в этом случае они рискуют пропустить реальный взлом HOSTS.
Разрешайте угрозу только, если вы хорошо понимаете потенциальные риски.
Microsoft пока никак не прокомментировала данные изменения в обнаружении.
Последние статьи #Windows
• Важно знать перед установкой: Известные проблемы в Windows 11, версия 24H2
• Microsoft подтвердила проблему с установкой обновлений безопасности в Windows 11, версия 24H2
• Microsoft снижает зависимость от OpenAI: Компания работает над добавлением альтернативных моделей ИИ в 365 Copilot
• Как установить и настроить Windows 11 без подключения к Интернету и без аккаунта Microsoft
• Asus выпустит первый мини-ПК Copilot+ с новыми процессорами Intel Core Ultra 9
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки