Výstraha „HostsFileHijack“ programu Windows Defender sa zobrazí, ak je blokovaná telemetria - Winhelponline

Od júla minulého týždňa začal vydávať program Windows Defender Win32 / HostsFileHijack Ak ste zablokovali servery spoločnosti Telemetry spoločnosti Microsoft pomocou súboru HOSTS, upozorní vás na „potenciálne nežiaduce správanie“.

Von z Modifikátor nastavení: Win32 / HostsFileHijack prípadov hlásených online, najskorší prípad bol hlásený na Fóra Microsoft Answers kde užívateľ uviedol:

Dostávam vážne „potenciálne nechcené“ správy. Mám aktuálny Windows 10 2004 (1904.388) a ako trvalú ochranu iba Defender.
Ako je to možné vyhodnotiť, pretože sa to u mojich hostiteľov nič nezmenilo, viem to. Alebo je to falošne pozitívna správa? Druhá kontrola pomocou AdwCleaner alebo Malwarebytes alebo SUPERAntiSpyware nevykazuje žiadnu infekciu.

Výstraha „HostsFileHijack“, ak je blokovaná telemetria

Po prehliadke HOSTI súboru z tohto systému, bolo zistené, že používateľ pridal servery Microsoft Telemetry do súboru HOSTS a smeroval ho na 0.0.0.0 (známe ako „nulové smerovanie“), aby tieto adresy zablokoval. Tu je zoznam telemetrických adries null smerovaných týmto používateľom.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostika.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

A expert Rob Koch odpovedal slovami:

Pretože nulovo smerujete stránky Microsoft.com a ďalšie renomované weby do čiernej diery, Microsoft by to zjavne považoval za potenciálne nežiaducu aktivitu, takže ich samozrejme detekuje ako aktivitu PUA (nie nevyhnutne škodlivú, ale nežiaducu) súvisiacu s hostiteľom. File Hijack.

To, že ste sa rozhodli, že je to niečo, čo chcete urobiť, je v podstate irelevantné.

Ako som jasne vysvetlil vo svojom prvom príspevku, zmena vykonávania detekcií PUA bola štandardne povolená vydaním systému Windows 10 verzie 2004, takže to je celý dôvod vášho náhleho problému. Nič sa nestalo, ibaže nedávate prednosť operácii Windows spôsobom, aký zamýšľal vývojár Microsoft.

Pretože si však prajete zachovať tieto nepodporované úpravy v súbore Hosts, napriek tomu, že zreteľne porušia mnohé funkcie systému Windows, ktoré tieto stránky podporujú, pravdepodobne by ste mali vrátiť časť detekcie PUA Program Windows Defender je vypnutý tak, ako to bolo v predchádzajúcich verziách systému Windows.

To bolo Günter Born ktorí o tejto problematike blogovali ako prví. Pozri si jeho vynikajúci príspevok Program Defender označuje súbor Windows Hosts ako škodlivý a jeho následný príspevok na túto tému. Günter tiež ako prvý napísal o detekcii PUP programu Windows Defender / CCleaner.

Günter vo svojom blogu poznamenáva, že sa to deje od 28. júla 2020. Avšak príspevok Microsoft Answers, o ktorom sme hovorili vyššie, bol vytvorený 23. júla 2020. Takže nevieme, ktorá verzia Windows Defender Engine / klienta priniesla Win32 / HostsFileHijack detekcia telemetrického bloku presne.

Posledné definície programu Windows Defender (vydané od 3. júla) považujú tieto „pozmenené“ položky v súbore HOSTS za nežiaduce a varujú používateľa pred „potenciálne nežiaducim správaním“ - s úrovňou ohrozenia označenou ako „závažná“.

Akákoľvek položka súboru HOSTS obsahujúca doménu spoločnosti Microsoft (napr. Microsoft.com), ako je napríklad táto, spustí výstrahu:

0.0.0.0 www.microsoft.com (alebo) 127.0.0.1 www.microsoft.com

Program Windows Defender by potom používateľovi poskytol tri možnosti:

• Odstrániť
• Karanténa
• Povoliť na zariadení.

Vyberám Odstrániť by resetoval súbor HOSTS na predvolené nastavenia systému Windows, čím by úplne vymazal vaše vlastné záznamy, ak existujú.

Ako teda môžem zablokovať telemetrické servery spoločnosti Microsoft?

Ak tím Windows Defender chce pokračovať s vyššie uvedenou logikou detekcie, máte tri možnosti blokovania telemetrie bez prijímania upozornení z programu Windows Defender.

Možnosť 1: Pridajte súbor HOSTS do vylúčení programu Windows Defender

Programu Windows Defender môžete povedať, aby ignoroval HOSTI pridaním do vylúčení.

1. Otvorte nastavenia zabezpečenia programu Windows Defender, kliknite na položku Ochrana pred vírusmi a hrozbami.
2. V časti Nastavenia ochrany pred vírusmi a hrozbami kliknite na položku Spravovať nastavenia.
3. Posuňte sa nadol a kliknite na položku Pridať alebo odstrániť vylúčenia
4. Kliknite na položku Pridať vylúčenie a potom na položku Súbor.
5. Vyberte súbor C: Windows System32 drivers etc HOSTS a pridaj to.
   

Poznámka: Pridanie HOSTS do zoznamu vylúčených znamená, že ak malware v budúcnosti narazí na váš súbor HOSTS, program Windows Defender bude sedieť a so súborom HOSTS nič neurobí. Vylúčenia programu Windows Defender je potrebné používať opatrne.

Možnosť 2: Zakážte skenovanie PUA / PUP programom Windows Defender

PUA / PUP (potenciálne nežiaduca aplikácia / program) je program, ktorý obsahuje adware, inštaluje panely nástrojov alebo má nejasné motívy. V verzie predtým ako Windows 10 2004, Windows Defender predvolene neskenoval PUA ani PUP. Detekcia PUA / PUP bola funkcia prihlásenia to bolo treba povoliť pomocou PowerShellu alebo editora databázy Registry.

The Win32 / HostsFileHijack hrozba vyvolaná programom Windows Defender spadá do kategórie PUA / PUP. To znamená, tým zakázanie skenovania PUA / PUP túto možnosť môžete obísť Win32 / HostsFileHijack varovanie súboru napriek tomu, že v súbore HOSTS boli položky telemetrie.

Poznámka: Nevýhodou deaktivácie programu PUA / PUP je, že program Windows Defender neurobí nič s nastaveniami a inštalátormi dodávanými s adware, ktoré si nechtiac stiahnete.

Tip: Môžeš mať Malwarebytes Premium (ktorá zahŕňa skenovanie v reálnom čase) bežiace spolu s programom Windows Defender. Týmto spôsobom sa Malwarebytes môže postarať o veci PUA / PUP.

Možnosť 3: Použite vlastný server DNS, napríklad bránu firewall Pi-hole alebo pfSense

Technicky zdatní používatelia môžu nastaviť serverový systém Pi-Hole DNS a blokovať domény telemetrie adware a Microsoft. Blokovanie na úrovni DNS zvyčajne vyžaduje samostatný hardvér (napríklad Raspberry Pi alebo lacný počítač) alebo službu tretej strany, napríklad rodinný filter OpenDNS. Účet rodiny filtrov OpenDNS poskytuje bezplatnú možnosť filtrovať adware a blokovať vlastné domény.

Alternatívne to môže hardvérový firewall ako pfSense (spolu s balíkom pfBlockerNG) dosiahnuť ľahko. Filtrovanie serverov na úrovni DNS alebo brány firewall je veľmi efektívne. Tu je niekoľko odkazov, ktoré vám povedia, ako blokovať telemetrické servery pomocou brány firewall pfSense:

Blokovanie prenosu spoločnosti Microsoft v PFSense Syntax Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Ako blokovať telemetriu v systéme Windows 10 pomocou pfsense | Fórum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokovanie sledovania systému Windows 10: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry is bypassing VPN connection: VPN: Komentovať z diskusie Komentár Tzunamii z diskusie „Telemetria systému Windows 10 obchádza pripojenie VPN“ . Koncové body pripojenia pre Windows 10 Enterprise, verzia 2004 - Ochrana osobných údajov v systéme Windows | Dokumenty spoločnosti Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Poznámka redakcie: Vo svojich systémoch som nikdy neblokoval servery na telemetriu ani na server Microsoft Update. Ak vám veľmi záleží na ochrane osobných údajov, môžete použiť jedno z vyššie uvedených riešení a zablokovať tak telemetrické servery bez prijímania upozornení programu Windows Defender.

Jedna malá požiadavka: Ak sa vám tento príspevok páčil, zdieľajte ho?

• Pripnúť!
• Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
• Tweetujte to!