Η ειδοποίηση "HostsFileHijack" του Windows Defender εμφανίζεται εάν η τηλεμετρία είναι αποκλεισμένη

Από τον Ιούλιο την περασμένη εβδομάδα, το Windows Defender ξεκίνησε να εκδίδεται Win32/HostsFileHijack Η "εν δυνάμει ανεπιθύμητη συμπεριφορά" ειδοποιεί εάν είχατε αποκλείσει τους διακομιστές Telemetry της Microsoft χρησιμοποιώντας το αρχείο HOSTS.

Εξω από Τροποποιητής ρυθμίσεων: Win32/HostsFileHijack κρούσματα που αναφέρθηκαν διαδικτυακά, το νωρίτερο αναφέρθηκε στο φόρουμ Microsoft Answers όπου ο χρήστης δήλωσε:

Λαμβάνω ένα σοβαρό μήνυμα "εν δυνάμει ανεπιθύμητο". Έχω τα τρέχοντα Windows 10 2004 (1904.388) και μόνο το Defender ως μόνιμη προστασία.
Πώς να το αξιολογήσω, αφού τίποτα δεν έχει αλλάξει στους οικοδεσπότες μου, το ξέρω. Ή είναι αυτό ένα ψευδές θετικό μήνυμα; Ένας δεύτερος έλεγχος με το AdwCleaner ή το Malwarebytes ή το SUPERAntiSpyware δεν δείχνει μόλυνση.

Ειδοποίηση "HostsFileHijack" εάν η τηλεμετρία είναι αποκλεισμένη

Μετά την επιθεώρηση του ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο από αυτό το σύστημα, παρατηρήθηκε ότι ο χρήστης είχε προσθέσει διακομιστές Microsoft Telemetry στο αρχείο HOSTS και το δρομολόγησε στο 0.0.0.0 (γνωστό ως "null-routing") για να αποκλείσει αυτές τις διευθύνσεις. Ακολουθεί η λίστα με τις διευθύνσεις τηλεμετρίας που έχουν μηδενιστεί από αυτόν τον χρήστη.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 Choice.microsoft.com. 0.0.0.0 Choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 τ.μ.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Και ο ειδικός Rob Koch απάντησε λέγοντας:

Εφόσον δεν δρομολογείτε το Microsoft.com και άλλους αξιόπιστους ιστότοπους σε μια μαύρη τρύπα, η Microsoft προφανώς θα το θεωρούσε αυτό πιθανό ανεπιθύμητη δραστηριότητα, επομένως φυσικά τα εντοπίζουν ως PUA (όχι απαραίτητα κακόβουλη, αλλά ανεπιθύμητη) δραστηριότητα, που σχετίζεται με ένα αρχείο Hosts Εκβιάζω.

Το ότι αποφασίσατε ότι είναι κάτι που θέλετε να κάνετε είναι βασικά άσχετο.

Όπως εξήγησα ξεκάθαρα στην πρώτη μου ανάρτηση, η αλλαγή για την εκτέλεση των ανιχνεύσεων PUA ενεργοποιήθηκε από προεπιλογή με την κυκλοφορία των Windows 10 Έκδοση 2004, οπότε αυτός είναι ο πλήρης λόγος για το ξαφνικό σας πρόβλημα. Τίποτα δεν είναι λάθος εκτός από το ότι δεν προτιμάτε να χρησιμοποιείτε τα Windows με τον τρόπο που σκόπευε ο προγραμματιστής της Microsoft.

Ωστόσο, δεδομένου ότι επιθυμείτε να διατηρήσετε αυτές τις μη υποστηριζόμενες τροποποιήσεις στο αρχείο Hosts, παρά το γεγονός ότι θα σπάσουν σαφώς πολλές από τις λειτουργίες των Windows. οι ιστότοποι έχουν σχεδιαστεί για να υποστηρίζουν, πιθανότατα θα ήταν καλύτερα να επαναφέρετε το τμήμα ανίχνευσης PUA του Windows Defender σε απενεργοποιημένο, όπως ήταν σε προηγούμενες εκδόσεις του Windows.

Οι πρόσφατοι ορισμοί του Windows Defender (που εκδόθηκαν από την 3η εβδομάδα και μετά) λαμβάνουν υπόψη αυτές τις «παραποιημένες» καταχωρήσεις στο Το αρχείο HOSTS ως ανεπιθύμητο και προειδοποιεί τον χρήστη για «δυνητικά ανεπιθύμητη συμπεριφορά» — με το επίπεδο απειλής να υποδηλώνεται ως "αυστηρός".

Οποιαδήποτε καταχώρηση αρχείου HOSTS που περιέχει έναν τομέα της Microsoft (π.χ. microsoft.com) όπως ο παρακάτω, θα ενεργοποιούσε μια ειδοποίηση:

0.0.0.0 www.microsoft.com (ή) 127.0.0.1 www.microsoft.com

Το Windows Defender θα παρέχει στη συνέχεια τρεις επιλογές στον χρήστη:

• Αφαιρώ
• Καραντίνα
• Να επιτρέπεται στη συσκευή.

Επιλογή Αφαιρώ θα επαναφέρει το αρχείο HOSTS στις προεπιλεγμένες ρυθμίσεις των Windows, διαγράφοντας έτσι πλήρως τις προσαρμοσμένες καταχωρήσεις σας, εάν υπάρχουν.

Λοιπόν, πώς μπορώ να αποκλείσω τους διακομιστές τηλεμετρίας της Microsoft;

Εάν η ομάδα του Windows Defender θέλει να συνεχίσει με την παραπάνω λογική ανίχνευσης, έχετε τρεις επιλογές για να αποκλείσετε την τηλεμετρία χωρίς να λαμβάνετε ειδοποιήσεις από το Windows Defender.

Επιλογή 1: Προσθήκη αρχείου HOSTS στις εξαιρέσεις του Windows Defender

Μπορείτε να πείτε στο Windows Defender να αγνοήσει το ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο προσθέτοντάς το στις εξαιρέσεις.

1. Ανοίξτε τις ρυθμίσεις ασφαλείας του Windows Defender, κάντε κλικ στην Προστασία από ιούς και απειλές.
2. Στην περιοχή Ρυθμίσεις προστασίας από ιούς και απειλές, κάντε κλικ στην επιλογή Διαχείριση ρυθμίσεων.
3. Κάντε κύλιση προς τα κάτω και κάντε κλικ στην Προσθήκη ή κατάργηση εξαιρέσεων
4. Κάντε κλικ στην Προσθήκη εξαίρεσης και κάντε κλικ στο Αρχείο.
5. Επιλέξτε το αρχείο C:\Windows\System32\drivers\etc\HOSTS και προσθέστε το.
   

Σημείωση: Η προσθήκη HOSTS στη λίστα εξαιρέσεων σημαίνει ότι εάν ένα κακόβουλο λογισμικό παραβιάσει το αρχείο HOSTS σας στο μέλλον, το Windows Defender θα παραμείνει ακίνητο και δεν θα κάνει τίποτα σχετικά με το αρχείο HOSTS. Οι εξαιρέσεις του Windows Defender πρέπει να χρησιμοποιούνται με προσοχή.

Επιλογή 2: Απενεργοποιήστε τη σάρωση PUA/PUP από το Windows Defender

Το PUA/PUP (δυνητικά ανεπιθύμητη εφαρμογή/πρόγραμμα) είναι ένα πρόγραμμα που περιέχει adware, εγκαθιστά γραμμές εργαλείων ή έχει ασαφή κίνητρα. Στο εκδόσεις νωρίτερα από τα Windows 10 2004, το Windows Defender δεν σάρωνε PUA ή PUP από προεπιλογή. Ο εντοπισμός PUA/PUP ήταν μια δυνατότητα επιλογής που έπρεπε να ενεργοποιηθεί χρησιμοποιώντας το PowerShell ή τον Επεξεργαστή Μητρώου.

ο Win32/HostsFileHijack Η απειλή που προέρχεται από το Windows Defender ανήκει στην κατηγορία PUA/PUP. Αυτό σημαίνει, με απενεργοποίηση σάρωσης PUA/PUP επιλογή, μπορείτε να παρακάμψετε το Win32/HostsFileHijack προειδοποίηση αρχείου παρά το γεγονός ότι υπάρχουν καταχωρήσεις τηλεμετρίας στο αρχείο HOSTS.

Σημείωση: Ένα μειονέκτημα της απενεργοποίησης του PUA/PUP είναι ότι το Windows Defender δεν θα έκανε τίποτα για τις ρυθμίσεις/εγκαταστάτες με πακέτο διαφημίσεων που κατεβάζετε κατά λάθος.

Υπόδειξη: Μπορείς να έχεις Malwarebytes Premium (η οποία περιλαμβάνει σάρωση σε πραγματικό χρόνο) που εκτελείται παράλληλα με το Windows Defender. Με αυτόν τον τρόπο, το Malwarebytes μπορεί να φροντίσει τα πράγματα PUA/PUP.

Επιλογή 3: Χρησιμοποιήστε έναν προσαρμοσμένο διακομιστή DNS όπως το τείχος προστασίας Pi-hole ή pfSense

Οι χρήστες με γνώσεις τεχνολογίας μπορούν να ρυθμίσουν ένα σύστημα διακομιστή DNS Pi-Hole και να αποκλείσουν τους τομείς adware και τηλεμετρίας της Microsoft. Ο αποκλεισμός σε επίπεδο DNS συνήθως απαιτεί ξεχωριστό υλικό (όπως το Raspberry Pi ή έναν υπολογιστή χαμηλού κόστους) ή μια υπηρεσία τρίτου μέρους, όπως το οικογενειακό φίλτρο OpenDNS. Ο λογαριασμός οικογενειακού φίλτρου OpenDNS παρέχει μια δωρεάν επιλογή φιλτραρίσματος λογισμικού διαφημίσεων και αποκλεισμού προσαρμοσμένων τομέων.

Εναλλακτικά, ένα τείχος προστασίας υλικού όπως το pfSense (μαζί με το πακέτο pfBlockerNG) μπορεί να το πετύχει αυτό εύκολα. Το φιλτράρισμα διακομιστών σε επίπεδο DNS ή τείχους προστασίας είναι πολύ αποτελεσματικό. Ακολουθούν ορισμένοι σύνδεσμοι που σας λένε πώς να αποκλείσετε τους διακομιστές τηλεμετρίας χρησιμοποιώντας το τείχος προστασίας pfSense:

Αποκλεισμός της κυκλοφορίας της Microsoft στο PFSense | Σύνταξη Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Πώς να αποκλείσετε την τηλεμετρία των Windows10 με το pfsense | Φόρουμ Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Αποκλείστε τα Windows 10 να σας παρακολουθούν: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Η τηλεμετρία των Windows 10 παρακάμπτει τη σύνδεση VPN: VPN: 

Σχόλιο από συζήτηση Το σχόλιο του Tzunamii από τη συζήτηση "Η τηλεμετρία των Windows 10 παρακάμπτει τη σύνδεση VPN".
 Τελικά σημεία σύνδεσης για Windows 10 Enterprise, έκδοση 2004 - Απόρρητο των Windows | Έγγραφα Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Σημείωση του συντάκτη: Δεν έχω αποκλείσει ποτέ διακομιστές τηλεμετρίας ή Microsoft Update στα συστήματά μου. Εάν ανησυχείτε πολύ για το απόρρητο, μπορείτε να χρησιμοποιήσετε έναν από τους παραπάνω τρόπους αντιμετώπισης για να αποκλείσετε τους διακομιστές τηλεμετρίας χωρίς να λαμβάνετε τις ειδοποιήσεις του Windows Defender.

αναφέρετε αυτήν τη διαφήμιση