Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10

Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС.

Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности.

В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.

Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:

После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:

  • (www).microsoft.com;
  • microsoft.com;
  • telemetry.microsoft.com;
  • wns.notify.windows.com.akadns.net;
  • v10-win.vortex.data.microsoft.com.akadns.net;
  • us.vortex-win.data.microsoft.com;
  • us-v10.events.data.microsoft.com;
  • urs.microsoft.com.nsatc.net;
  • watson.telemetry.microsoft.com;
  • watson.ppe.telemetry.microsoft.com;
  • vsgallery.com;
  • watson.live.com;
  • watson.microsoft.com;
  • telemetry.remoteapp.windowsazure.com;
  • telemetry.urs.microsoft.com.

Файл hosts находится в директории C:Windowssystem32driveretc. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»