Upozorenje Windows Defendera “HostsFileHijack” pojavljuje se ako je telemetrija blokirana

Od srpnja prošlog tjedna počeo se izdavati Windows Defender Win32/HostsFileHijack "potencijalno neželjeno ponašanje" upozorava ako ste blokirali Microsoftove telemetrijske poslužitelje pomoću datoteke HOSTS.

Iz Modifikator postavki: Win32/HostsFileHijack slučajeva prijavljenih na internetu, najraniji je prijavljen na Forumi Microsoft Answers gdje je korisnik naveo:

Dobivam ozbiljnu "potencijalno neželjenu" poruku. Imam trenutni Windows 10 2004 (1904.388) i samo Defender kao trajnu zaštitu.
Kako to ocijeniti, pošto se kod mojih domaćina ništa nije promijenilo, to znam. Ili je ovo lažno pozitivna poruka? Druga provjera s AdwCleaner ili Malwarebytes ili SUPERAntiSpyware pokazuje da nema infekcije.

Upozorenje "HostsFileHijack" ako je telemetrija blokirana

Nakon pregleda DOMAĆINI datoteku iz tog sustava, uočeno je da je korisnik dodao poslužitelje Microsoft Telemetry u HOSTS datoteku i preusmjerio je na 0.0.0.0 (poznato kao "null-routing") kako bi blokirao te adrese. Ovdje je popis telemetrijskih adresa koje je taj korisnik usmjerio na nulu.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 izbor.microsoft.com. 0.0.0.0 izbor.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 anketa.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

A stručnjak Rob Koch je odgovorio rekavši:

Budući da null usmjeravate Microsoft.com i druge renomirane web stranice u crnu rupu, Microsoft bi to očito vidio kao potencijalno neželjene aktivnosti, pa ih, naravno, detektiraju kao PUA (ne nužno zlonamjerne, ali neželjene) aktivnosti povezane s datotekom Hosts Oteti.

To što ste odlučili da je to nešto što želite učiniti je u osnovi nebitno.

Kao što sam jasno objasnio u svom prvom postu, promjena za izvođenje detekcije PUA omogućena je prema zadanim postavkama s izdavanjem Windows 10 verzije 2004, tako da je to cijeli razlog vašeg iznenadnog problema. Ništa nije u redu osim što ne želite raditi sa sustavom Windows na način koji je programer Microsoft namjeravao.

Međutim, budući da je vaša želja zadržati ove nepodržane izmjene u datoteci Hosts, unatoč činjenici da će one očito pokvariti mnoge funkcije sustava Windows web-mjesta su dizajnirana za podršku, vjerojatno bi vam bilo bolje da dio za otkrivanje PUA-a u Windows Defenderu vratite na onemogućen kao što je bio u prethodnim verzijama Windows.

Bilo je Günter Rođen koji je prvi napisao blog o ovom problemu. Pogledajte njegovu izvrsnu objavu Defender označava Windows Hosts datoteku kao zlonamjernu i njegov naknadni post na ovu temu. Günter je također bio prvi koji je pisao o Windows Defender/CCleaner PUP detekciji.

U svom blogu Günter napominje da se to događa od 28. srpnja 2020. godine. Međutim, gore spomenuta objava Microsoftovih odgovora stvorena je 23. srpnja 2020. Dakle, ne znamo koja je verzija Windows Defender Engine-a/klijenta uvela Win32/HostsFileHijack detekcija bloka telemetrije točno.

Nedavne definicije Windows Defendera (izdane od 3. srpnja nadalje) uzimaju u obzir te "promijenjene" unose u HOSTS datoteku kao nepoželjnu i upozorava korisnika na "potencijalno neželjeno ponašanje" - s razinom prijetnje označenom kao “teško”.

Svaki unos datoteke HOSTS koji sadrži Microsoftovu domenu (npr. microsoft.com) kao što je ovaj ispod, pokrenut će upozorenje:

0.0.0.0 www.microsoft.com (ili) 127.0.0.1 www.microsoft.com

Windows Defender bi tada korisniku pružio tri opcije:

Ukloniti
Karantena
Dopusti na uređaju.

Odabirom Ukloniti bi resetirao datoteku HOSTS na zadane postavke sustava Windows, čime bi se u potpunosti izbrisali vaši prilagođeni unosi ako ih ima.

Dakle, kako mogu blokirati Microsoftove telemetrijske poslužitelje?

Ako tim za Windows Defender želi nastaviti s gornjom logikom otkrivanja, imate tri opcije za blokiranje telemetrije bez dobivanja upozorenja od Windows Defendera.

Opcija 1: Dodajte datoteku HOSTS u izuzeća Windows Defendera

Možete reći Windows Defenderu da zanemari DOMAĆINI datoteku dodavanjem u izuzeća.

Otvorite sigurnosne postavke Windows Defendera, kliknite Zaštita od virusa i prijetnji.
U odjeljku Postavke zaštite od virusa i prijetnji kliknite Upravljanje postavkama.
Pomaknite se prema dolje i kliknite Dodaj ili ukloni izuzimanja
Kliknite Dodaj izuzimanje i kliknite Datoteka.
Odaberite datoteku C:\Windows\System32\drivers\etc\HOSTS i dodajte ga.

Bilješka: Dodavanje HOSTS-a na popis izuzetaka znači da će Windows Defender, ako zlonamjerni softver neovlašteno mijenja vašu datoteku HOSTS u budućnosti, mirno sjediti i ne poduzimati ništa u vezi s datotekom HOSTS. Izuzimanja Windows Defendera moraju se koristiti oprezno.

Opcija 2: Onemogućite PUA/PUP skeniranje pomoću Windows Defendera

PUA/PUP (potencijalno neželjena aplikacija/program) je program koji sadrži adware, instalira alatne trake ili ima nejasne motive. U verzije ranije od Windowsa 10 2004, Windows Defender prema zadanim postavkama nije skenirao PUA ili PUP-ove. Otkrivanje PUA/PUP-a bila je značajka uključivanja koje je trebalo omogućiti pomoću PowerShell-a ili uređivača registra.

ikona točke ruke The Win32/HostsFileHijack prijetnja koju pokreće Windows Defender spada u kategoriju PUA/PUP. To znači, po onemogućavanje PUA/PUP skeniranja opciju, možete zaobići Win32/HostsFileHijack upozorenje na datoteku unatoč tome što u datoteci HOSTS ima unosa telemetrije.

Bilješka: Loša strana onemogućavanja PUA/PUP-a je to što Windows Defender ne bi učinio ništa u vezi s programima za postavljanje/instaliranje u paketu s adwareom koje nehotice preuzmete.

ikona žarulje savjeta Savjet: Možeš imati Malwarebytes Premium (što uključuje skeniranje u stvarnom vremenu) koji radi uz Windows Defender. Na taj se način Malwarebytes može pobrinuti za PUA/PUP stvari.

Opcija 3: Koristite prilagođeni DNS poslužitelj kao što je Pi-hole ili pfSense vatrozid

Tehnološki upućeni korisnici mogu postaviti Pi-Hole DNS poslužiteljski sustav i blokirati adware i Microsoftove telemetrijske domene. Blokiranje na razini DNS-a obično zahtijeva zaseban hardver (kao što je Raspberry Pi ili jeftino računalo) ili uslugu treće strane kao što je filtar obitelji OpenDNS. OpenDNS obiteljski filtarski račun pruža besplatnu opciju za filtriranje reklamnog softvera i blokiranje prilagođenih domena.

Alternativno, hardverski vatrozid kao što je pfSense (zajedno s paketom pfBlockerNG) može to lako postići. Filtriranje poslužitelja na razini DNS-a ili vatrozida vrlo je učinkovito. Evo nekoliko veza koje vam govore kako blokirati poslužitelje telemetrije pomoću pfSense vatrozida:

Blokiranje Microsoftovog prometa u PFSense | Adobo sintaksa: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kako blokirati u Windows10 telemetriji s pfsense | Netgate forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokirajte Windows 10 da vas prati: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetrija zaobilazi VPN vezu: VPN: 
Komentar iz rasprave Tzunamiijev komentar iz rasprave "Telemetrija Windows 10 zaobilazi VPN vezu".
 Krajnje točke veze za Windows 10 Enterprise, verzija 2004 - Windows privatnost | Microsoft dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Napomena urednika: Nikada nisam blokirao poslužitelje telemetrije ili Microsoft Update u svojim sustavima. Ako ste jako zabrinuti za privatnost, možete upotrijebiti jedno od gore navedenih rješenja za blokiranje telemetrijskih poslužitelja bez dobivanja upozorenja Windows Defendera.

Jedna mala molba: Ako vam se svidio ovaj post, podijelite ovo?

Jedan tvoj "sitni" share bi ozbiljno pomogao u razvoju ovog bloga. Nekoliko sjajnih prijedloga:

Prikvačiti!
Podijelite ga na svom omiljenom blogu + Facebooku, Redditu
Tweetajte!

Zato ti puno hvala na podršci, moj čitatelju. Neće vam trebati više od 10 sekundi vremena. Gumbi za dijeljenje nalaze se odmah ispod. :)

prijavi ovaj oglas