Файл расположен по пути C:\Windows\System32\drivers\etc\hosts и может редактироваться только администратором устройства.
Данный файл используется для сопоставления имен хостов с IP-адресами без использования системы доменных имен (DNS).
Обычно файл используется для блокировки нежелательных сайтов, за счет указания редиректа на IP-адреса 127.0.0.1 или 0.0.0.0.
Например, если вы добавите следующую строку в файл HOSTS, то пользователи Windows не смогут получить доступ к www.google.com, Браузер посчитает, что пытаетесь подключиться к 127.0.0.1, т.е. к адресу локального компьютера.
127.0.0.1 www.google.com
Microsoft стала помечать файлы HOSTS, которые блокируют телеметрию Windows
С конца июля пользователи Windows 10 стали сообщать, что встроенная антивирусная программа «Защитник Windows» стала распознавать измененные файлы HOSTS как угрозу SettingsModifier:Win32/HostsFileHijack.
Если пользователь выбирает опцию «Подробнее», то антивирус сообщит, что устройство затронуто критической угрозой “SettingsModifier:Win32/HostsFileHijack” из категории Изменение параметров, которая является потенциально опасной.
Впервые о проблеме стало известно из блога BornCity. Хотя обнаружение взломов HOSTS не является чем-то неординарным, количество затронутых пользователей действительно поражало.
Массовые заражения нередко встречались раньше, но с текущим уровнем безопасности WIndows 10 все это было странно. Казалось, что это ложное срабатывание или безвредная проблема.
После тестирования оказалось, что срабатывание возникало после внесения в файл HOSTS правил для блокировки серверов телеметрии Windows 10. Даже при попытке сохранить изменения в файле отображалось предупреждение «Содержит вирус или потенциально нежелательное ПО». Также появлялись уведомления, что компьютер заражен SettingsModifier:Win32/HostsFileHijack.
По всей видимости, Microsoft недавно обновила сигнатурные определения Защитника Windows и настроила распознавание правил блокировки серверов телеметрии в файле HOSTS.
Таким образом, пользователи, которые блокируют телеметрию через HOSTS, получили предупреждение о заражении файла.
При тестировании были установлены домены, на которые реагирует Защитник Windows в файле HOSTS:
www.microsoft.com microsoft.com telemetry.microsoft.com wns.notify.windows.com.akadns.net v10-win.vortex.data.microsoft.com.akadns.net us.vortex-win.data.microsoft.com us-v10.events.data.microsoft.com urs.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.ppe.telemetry.microsoft.com vsgallery.com watson.live.com watson.microsoft.com telemetry.remoteapp.windowsazure.com telemetry.urs.microsoft.com
Если вы решите удалить угрозу, то Windows восстановит стандартный файл HOSTS.
Конечно, пользователи, которые таким способом блокируют телеметрию в Windows 10, могут проигнорировать угрозу, но в этом случае они рискуют пропустить реальный взлом HOSTS.
Разрешайте угрозу только, если вы хорошо понимаете потенциальные риски.
Microsoft пока никак не прокомментировала данные изменения в обнаружении.
Последние статьи #Windows
• Как установить Windows 11 без Интернета и учетной записи Microsoft: официальный способ
• Релиз Microsoft PowerToys 0.90: новый лаунчер «Палитра команд, улучшенный Цветоподборщик и другие изменения
• Обновление KB5053654 (Build 22635.5160) для Windows 11, версия 23H2 (Beta)
• Microsoft уберёт смайлик и QR-код с «экрана смерти» в Windows 11
• Microsoft тестирует новый инструмент для удаленного устранения сбоев загрузки Windows 11
• Забудьте про BYPASSNRO: найден новый способ обхода требования учётной записи Microsoft и интернета для установки Windows 11