Антивирус Windows 10 считает «критической угрозой» блокировку телеметрии Microsoft через файл HOSTS

2020-08-04 13054 комментарии
Microsoft стала расценивать файлы HOSTS, в которых прописаны правила для блокировки серверов телеметрии Windows 10 как представляющие «критические» риски безопасности. Встроенный антивирус определяет угрозу как SettingsModifier:Win32/HostsFileHijack

Файл расположен по пути C:\Windows\System32\drivers\etc\hosts и может редактироваться только администратором устройства.

Данный файл используется для сопоставления имен хостов с IP-адресами без использования системы доменных имен (DNS).

Обычно файл используется для блокировки нежелательных сайтов, за счет указания редиректа на IP-адреса 127.0.0.1 или 0.0.0.0.

Например, если вы добавите следующую строку в файл HOSTS, то пользователи Windows не смогут получить доступ к www.google.com, Браузер посчитает, что пытаетесь подключиться к 127.0.0.1, т.е. к адресу локального компьютера.

127.0.0.1 www.google.com

Microsoft стала помечать файлы HOSTS, которые блокируют телеметрию Windows

С конца июля пользователи Windows 10 стали сообщать, что встроенная антивирусная программа «Защитник Windows» стала распознавать измененные файлы HOSTS как угрозу SettingsModifier:Win32/HostsFileHijack.

SettingsModifier:Win32/HostsFileHijack

Если пользователь выбирает опцию «Подробнее», то антивирус сообщит, что устройство затронуто критической угрозой “SettingsModifier:Win32/HostsFileHijack” из категории Изменение параметров, которая является потенциально опасной.

Впервые о проблеме стало известно из блога BornCity. Хотя обнаружение взломов HOSTS не является чем-то неординарным, количество затронутых пользователей действительно поражало.

Массовые заражения нередко встречались раньше, но с текущим уровнем безопасности WIndows 10 все это было странно. Казалось, что это ложное срабатывание или безвредная проблема.

После тестирования оказалось, что срабатывание возникало после внесения в файл HOSTS правил для блокировки серверов телеметрии Windows 10. Даже при попытке сохранить изменения в файле отображалось предупреждение «Содержит вирус или потенциально нежелательное ПО». Также появлялись уведомления, что компьютер заражен SettingsModifier:Win32/HostsFileHijack.

SettingsModifier:Win32/HostsFileHijack

По всей видимости, Microsoft недавно обновила сигнатурные определения Защитника Windows и настроила распознавание правил блокировки серверов телеметрии в файле HOSTS.

Таким образом, пользователи, которые блокируют телеметрию через HOSTS, получили предупреждение о заражении файла.

При тестировании были установлены домены, на которые реагирует Защитник Windows в файле HOSTS:

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

Если вы решите удалить угрозу, то Windows восстановит стандартный файл HOSTS.

Антивирус Windows 10

Конечно, пользователи, которые таким способом блокируют телеметрию в Windows 10, могут проигнорировать угрозу, но в этом случае они рискуют пропустить реальный взлом HOSTS.

Разрешайте угрозу только, если вы хорошо понимаете потенциальные риски.

Microsoft пока никак не прокомментировала данные изменения в обнаружении.

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте