Windows Defender-advarslen "HostsFileHijack" vises, hvis telemetri er blokeret

MiscellaneaDec 20, 2021
click fraud protection

Siden juli i sidste uge begyndte Windows Defender at udstede Win32/HostsFileHijack "potentielt uønsket adfærd" advarer, hvis du havde blokeret Microsofts Telemetri-servere ved hjælp af HOSTS-filen.

forsvarer hostsfilehijack

Ud af det SettingsModifier: Win32/HostsFileHijack tilfælde rapporteret online, den tidligste blev rapporteret kl Microsoft Answers-fora hvor brugeren har angivet:

Jeg får en alvorlig "potentielt uønsket" besked. Jeg har den nuværende Windows 10 2004 (1904.388) og kun Defender som permanent beskyttelse.
Hvordan skal det vurderes, da intet har ændret sig hos mine værter, det ved jeg. Eller er dette en falsk positiv besked? En anden kontrol med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware viser ingen infektion.

"HostsFileHijack" advarer, hvis telemetri er blokeret

Efter inspektion af VÆRTER fil fra dette system, blev det observeret, at brugeren havde tilføjet Microsoft Telemetry-servere til HOSTS-filen og dirigeret den til 0.0.0.0 (kendt som "null-routing") for at blokere disse adresser. Her er listen over telemetriadresser, der er nulstillet af den bruger.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 kvm.df.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetri.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Og eksperten Rob Koch svarede og sagde:

Da du null-router Microsoft.com og andre velrenommerede websteder til et sort hul, vil Microsoft naturligvis se dette som potentielt uønsket aktivitet, så de opdager selvfølgelig disse som PUA (ikke nødvendigvis ondsindet, men uønsket) aktivitet, relateret til en værtsfil Kapre.

At du har besluttet, at det er noget, du ønsker at gøre, er dybest set irrelevant.

Som jeg tydeligt forklarede i mit første indlæg, var ændringen til at udføre PUA-detektionerne aktiveret som standard med udgivelsen af ​​Windows 10 Version 2004, så det er hele årsagen til dit pludselige problem. Der er intet galt, bortset fra at du ikke foretrækker at betjene Windows på den måde, som udvikleren Microsoft havde til hensigt.

Men da dit ønske er at beholde disse ikke-understøttede ændringer i Hosts-filen, på trods af at de klart vil ødelægge mange af Windows-funktionerne, websteder er designet til at understøtte, ville du sandsynligvis være bedre stillet til at gendanne PUA-detekteringsdelen af ​​Windows Defender til deaktiveret, som den plejede at være i tidligere versioner af Windows.

Det var Günter Born hvem bloggede om dette problem først. Tjek hans fremragende indlæg Defender markerer Windows Hosts-fil som ondsindet og hans efterfølgende indlæg om dette emne. Günter var også den første til at skrive om Windows Defender/CCleaner PUP-detektion.

I sin blog bemærker Günter, at dette er sket siden 28. juli 2020. Microsoft Answers-indlægget diskuteret ovenfor blev dog oprettet den 23. juli 2020. Så vi ved ikke, hvilken Windows Defender Engine/klientversion der introducerede Win32/HostsFileHijack nøjagtig telemetriblokdetektion.

De seneste Windows Defender-definitioner (udstedt fra den 3. juli uge og frem) betragter disse "manipulerede" poster i HOSTS-fil som uønsket og advarer brugeren om "potentielt uønsket adfærd" - med trusselsniveauet angivet som "alvorlig".

Enhver HOSTS-filpost, der indeholder et Microsoft-domæne (f.eks. microsoft.com) som det nedenfor, vil udløse en advarsel:

0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com

Windows Defender vil derefter give tre muligheder for brugeren:

  • Fjerne
  • Karantæne
  • Tillad på enheden.
forsvarer hostsfilehijack

Vælger Fjerne ville nulstille HOSTS-filen til Windows-standardindstillingerne og dermed fuldstændig slette dine brugerdefinerede indtastninger, hvis nogen.

forsvarer hostsfilehijack

Så hvordan blokerer jeg Microsofts telemetriservere?

Hvis Windows Defender-teamet ønsker at fortsætte med ovenstående registreringslogik, har du tre muligheder for at blokere telemetri uden at få advarsler fra Windows Defender.

Mulighed 1: Tilføj HOSTS-fil til Windows Defender-ekskluderinger

Du kan bede Windows Defender om at ignorere VÆRTER fil ved at føje den til ekskluderinger.

  1. Åbn Windows Defender Sikkerhedsindstillinger, klik på Virus- og trusselsbeskyttelse.
  2. Under Virus- og trusselsbeskyttelsesindstillinger skal du klikke på Administrer indstillinger.
  3. Rul ned, og klik på Tilføj eller fjern ekskluderinger
  4. Klik på Tilføj en ekskludering, og klik på Filer.
  5. Vælg filen C:\Windows\System32\drivers\etc\HOSTS og tilføje det.
    forsvarer hostsfilehijack

Bemærk: Tilføjelse af HOSTS til ekskluderingslisten betyder, at hvis en malware manipulerer med din HOSTS-fil i fremtiden, vil Windows Defender sidde stille og ikke gøre noget ved HOSTS-filen. Windows Defender-ekskluderinger skal bruges med forsigtighed.

Mulighed 2: Deaktiver PUA/PUP-scanning af Windows Defender

PUA/PUP (potentielt uønsket program/program) er et program, der indeholder adware, installerer værktøjslinjer eller har uklare motiver. I den versioner tidligere end Windows 10 2004, scannede Windows Defender ikke PUA eller PUP'er som standard. PUA/PUP-detektion var en opt-in-funktion der skulle aktiveres ved hjælp af PowerShell eller registreringseditoren.

hånd punkt ikonDet Win32/HostsFileHijack trussel rejst af Windows Defender falder ind under PUA/PUP-kategorien. Det betyder, ved deaktivering af PUA/PUP-scanning mulighed, kan du omgå Win32/HostsFileHijack filadvarsel på trods af at der er telemetriposter i HOSTS-filen.

Bemærk: En ulempe ved at deaktivere PUA/PUP er, at Windows Defender ikke ville gøre noget ved den adware-bundtede opsætning/installationsprogrammer, som du utilsigtet downloader.

tips pære ikonTip: Du kan have Malwarebytes Premium (som inkluderer scanning i realtid) kører sammen med Windows Defender. På den måde kan Malwarebytes tage sig af PUA/PUP-tingene.

Mulighed 3: Brug en brugerdefineret DNS-server som Pi-hole eller pfSense firewall

Teknikkyndige brugere kan konfigurere et Pi-Hole DNS-serversystem og blokere adware- og Microsoft-telemetridomæner. Blokering på DNS-niveau kræver normalt separat hardware (som Raspberry Pi eller en billig computer) eller en tredjepartstjeneste som OpenDNS-familiefilter. OpenDNS-familiefilterkonto giver en gratis mulighed for at filtrere adware og blokere tilpassede domæner.

Alternativt kan en hardware-firewall som pfSense (sammen med pfBlockerNG-pakken) nemt opnå dette. Filtrering af servere på DNS- eller firewallniveau er meget effektivt. Her er nogle links, der fortæller dig, hvordan du blokerer telemetriserverne ved hjælp af pfSense firewall:

Blokering af Microsoft-trafik i PFSense | Adobo syntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Sådan blokerer du i Windows10 Telemetri med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Bloker Windows 10 fra at spore dig: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetri omgår VPN-forbindelse: VPN: 

Kommentar fra diskussion Tzunamiis kommentar fra diskussion "Windows 10 Telemetri omgår VPN-forbindelse".
 Forbindelsesslutpunkter til Windows 10 Enterprise, version 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktørens note: Jeg har aldrig blokeret telemetri eller Microsoft Update-servere i mine systemer. Hvis du er meget bekymret for privatlivets fred, kan du bruge en af ​​ovenstående løsninger til at få telemetriserverne blokeret uden at få Windows Defender-advarslerne.

En lille anmodning: Hvis du kunne lide dette opslag, så del venligst dette?

En "lille" andel fra dig ville virkelig hjælpe meget med væksten af ​​denne blog. Nogle gode forslag:
  • Fastgør det!
  • Del det på din yndlingsblog + Facebook, Reddit
  • Tweet det!
Så mange tak for din støtte, min læser. Det tager ikke mere end 10 sekunder af din tid. Del-knapperne er lige nedenfor. :)
Ezoicrapporter denne annonce