Windows Defender "HostsFileHijack" გაფრთხილება გამოჩნდება, თუ ტელემეტრია დაბლოკილია

გასული კვირის ივლისიდან Windows Defender-მა დაიწყო გამოშვება Win32/HostsFileHijack „პოტენციურად არასასურველი ქცევა“ აფრთხილებს, თუ თქვენ დაბლოკეთ Microsoft-ის Telemetry სერვერები HOSTS ფაილის გამოყენებით.

Გარეთ SettingsModifier: Win32/HostsFileHijack შემთხვევები დაფიქსირდა ინტერნეტით, ყველაზე ადრე დაფიქსირდა Microsoft Answers ფორუმები სადაც მომხმარებელმა განაცხადა:

მე ვიღებ სერიოზულ „პოტენციურად არასასურველ“ შეტყობინებას. მე მაქვს ამჟამინდელი Windows 10 2004 (1904.388) და მხოლოდ Defender მუდმივი დაცვა.
როგორ უნდა შევაფასოთ, რადგან ჩემს მასპინძლებში არაფერი შეცვლილა, ეს ვიცი. თუ ეს ცრუ დადებითი მესიჯია? მეორე შემოწმება AdwCleaner-ით ან Malwarebytes-ით ან SUPERAntiSpyware-ით არ აჩვენებს ინფექციას.

"HostsFileHijack" გაფრთხილება, თუ ტელემეტრია დაბლოკილია

შემოწმების შემდეგ მასპინძლები ფაილი ამ სისტემიდან, დაფიქსირდა, რომ მომხმარებელმა დაამატა Microsoft Telemetry სერვერები HOSTS ფაილს და გადაუშვა იგი 0.0.0.0-ზე (ცნობილია როგორც "null-routing") ამ მისამართების დასაბლოკად. აქ მოცემულია ტელემეტრიული მისამართების სია, რომლებიც ამ მომხმარებლის მიერ არის ნულოვანი მარშრუტით.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 Choice.microsoft.com. 0.0.0.0 Choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 პარამეტრები-sandbox.data.microsoft.com. 0.0.0.0 პარამეტრები-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 კვ.მ.telemetry.microsoft.com. 0.0.0.0 კვ.მ.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

და ექსპერტმა რობ კოხმა უპასუხა:

მას შემდეგ, რაც თქვენ აფუჭებთ Microsoft.com-ს და სხვა რეპუტაციის მქონე ვებსაიტებს შავ ხვრელში, Microsoft აშკარად დაინახავს ამას, როგორც პოტენციურად არასასურველი აქტივობა, ასე რომ, რა თქმა უნდა, ისინი აღმოაჩენენ ამას, როგორც PUA (არ არის აუცილებელი მავნე, მაგრამ არასასურველი) აქტივობა, რომელიც დაკავშირებულია Hosts ფაილთან გატაცება.

ის, რომ თქვენ გადაწყვიტეთ, რომ ეს არის ის, რისი გაკეთებაც გსურთ, ძირითადად შეუსაბამოა.

როგორც ნათლად ავხსენი ჩემს პირველ პოსტში, ცვლილება PUA-ს გამოვლენის შესასრულებლად ჩართული იყო ნაგულისხმევად Windows 10 ვერსიის 2004 წლის გამოშვებით, ასე რომ, ეს არის თქვენი უეცარი პრობლემის მთელი მიზეზი. არაფერია ცუდი გარდა იმისა, რომ თქვენ არ გირჩევნიათ Windows-ის მუშაობა ისე, როგორც დეველოპერმა Microsoft-მა განიზრახა.

თუმცა, რადგან თქვენი სურვილია შეინარჩუნოთ ეს მხარდაჭერილი ცვლილებები Hosts ფაილში, მიუხედავად იმისა, რომ ისინი აშკარად არღვევენ Windows-ის ბევრ ფუნქციას. საიტები შექმნილია მხარდასაჭერად, თქვენ ალბათ ჯობია დააბრუნოთ Windows Defender-ის PUA აღმოჩენის ნაწილი გათიშულ მდგომარეობაში, როგორც ეს იყო წინა ვერსიებში. Windows.

Ის იყო გიუნტერი დაიბადა ვინც პირველმა დაწერა ბლოგი ამ საკითხზე. შეამოწმეთ მისი შესანიშნავი პოსტი Defender მონიშნავს Windows Hosts ფაილს, როგორც მავნე და მისი შემდგომი პოსტი ამ თემაზე. გიუნტერი ასევე იყო პირველი, ვინც დაწერა Windows Defender/CCleaner PUP გამოვლენის შესახებ.

თავის ბლოგში გიუნტერი აღნიშნავს, რომ ეს ხდება 2020 წლის 28 ივლისიდან. თუმცა, ზემოთ განხილული Microsoft Answers პოსტი შეიქმნა 2020 წლის 23 ივლისს. ასე რომ, ჩვენ არ ვიცით Windows Defender Engine/კლიენტის რომელმა ვერსიამ შემოიღო Win32/HostsFileHijack ტელემეტრიული ბლოკის ზუსტად გამოვლენა.

Windows Defender-ის ბოლო განმარტებები (გამოცემულია 3 ივლისის კვირიდან მოყოლებული) განიხილავს იმ „გაყალბებულ“ ჩანაწერებს HOSTS ფაილი, როგორც არასასურველი და აფრთხილებს მომხმარებელს „პოტენციურად არასასურველი ქცევის“ შესახებ - საფრთხის დონე აღინიშნა როგორც "მძიმე".

ნებისმიერი HOSTS ფაილის ჩანაწერი, რომელიც შეიცავს Microsoft დომენს (მაგ. microsoft.com), როგორიცაა ქვემოთ მოცემული, გამოიწვევს გაფრთხილებას:

0.0.0.0 www.microsoft.com (ან) 127.0.0.1 www.microsoft.com

Windows Defender შემდეგ მომხმარებელს შესთავაზებს სამ ვარიანტს:

ამოღება
Კარანტინი
მოწყობილობაზე დაშვება.

შერჩევა ამოღება გადააბრუნებს HOSTS ფაილს Windows-ის ნაგულისხმევ პარამეტრებზე, რითაც მთლიანად წაშლის თქვენს მორგებულ ჩანაწერებს, ასეთის არსებობის შემთხვევაში.

მაშ, როგორ დავბლოკო Microsoft-ის ტელემეტრიის სერვერები?

თუ Windows Defender-ის გუნდს სურს გააგრძელოს ზემოაღნიშნული აღმოჩენის ლოგიკით, თქვენ გაქვთ სამი ვარიანტი, რათა დაბლოკოთ ტელემეტრია Windows Defender-ისგან გაფრთხილებების მიღების გარეშე.

ვარიანტი 1: დაამატეთ HOSTS ფაილი Windows Defender გამონაკლისებში

შეგიძლიათ უთხრათ Windows Defender-ს, რომ უგულებელყოს მასპინძლები ფაილი გამონაკლისების დამატებით.

გახსენით Windows Defender უსაფრთხოების პარამეტრები, დააწკაპუნეთ ვირუსებისგან და საფრთხეებისგან დაცვაზე.
ვირუსისა და საფრთხის დაცვის პარამეტრებში დააწკაპუნეთ პარამეტრების მართვაში.
გადადით ქვემოთ და დააწკაპუნეთ გამონაკლისების დამატება ან წაშლა
დააწკაპუნეთ გამორიცხვის დამატებაზე და დააჭირეთ ფაილს.
აირჩიეთ ფაილი C:\Windows\System32\drivers\etc\HOSTS და დაამატეთ იგი.

Შენიშვნა: HOSTS-ის დამატება გამონაკლისების სიაში ნიშნავს, რომ თუ მავნე პროგრამა შეაფერხებს თქვენს HOSTS ფაილს მომავალში, Windows Defender დაჯდება და არაფერს გააკეთებს HOSTS ფაილთან დაკავშირებით. Windows Defender-ის გამონაკლისები სიფრთხილით უნდა იქნას გამოყენებული.

ვარიანტი 2: გამორთეთ PUA/PUP სკანირება Windows Defender-ით

PUA/PUP (პოტენციურად არასასურველი აპლიკაცია/პროგრამა) არის პროგრამა, რომელიც შეიცავს სარეკლამო პროგრამებს, აინსტალირებს ხელსაწყოების ზოლებს ან აქვს გაურკვეველი მოტივები. ში ვერსიები Windows 10 2004-ზე ადრე, Windows Defender არ სკანირებდა PUA-ს ან PUP-ებს ნაგულისხმევად. PUA/PUP-ის ამოცნობა იყო არჩევის ფუნქცია რომელიც უნდა ჩართოთ PowerShell-ის ან რეესტრის რედაქტორის გამოყენებით.

ხელის წერტილის ხატულა The Win32/HostsFileHijack Windows Defender-ის მიერ წამოყენებული საფრთხე მიეკუთვნება PUA/PUP კატეგორიას. ეს ნიშნავს, რომ PUA/PUP სკანირების გამორთვა ვარიანტი, შეგიძლიათ გვერდის ავლით Win32/HostsFileHijack ფაილის გაფრთხილება HOSTS ფაილში ტელემეტრიული ჩანაწერების მიუხედავად.

Შენიშვნა: PUA/PUP-ის გამორთვის მინუსი არის ის, რომ Windows Defender არაფერს გააკეთებს რეკლამით შეფუთული კონფიგურაციის/ინსტალატორების შესახებ, რომლებსაც თქვენ უნებლიედ ჩამოტვირთავთ.

რჩევების ნათურის ხატულა რჩევა: შეგიძლიათ გქონდეთ Malwarebytes Premium (რომელიც მოიცავს რეალურ დროში სკანირებას) მუშაობს Windows Defender-თან ერთად. ამ გზით, Malwarebytes-ს შეუძლია იზრუნოს PUA/PUP პერსონალზე.

ვარიანტი 3: გამოიყენეთ მორგებული DNS სერვერი, როგორიცაა Pi-hole ან pfSense firewall

ტექნიკურად მცოდნე მომხმარებლებს შეუძლიათ დააყენონ Pi-Hole DNS სერვერის სისტემა და დაბლოკონ adware და Microsoft ტელემეტრიის დომენები. DNS დონის დაბლოკვა ჩვეულებრივ მოითხოვს ცალკეულ აპარატურას (როგორიცაა Raspberry Pi ან იაფი კომპიუტერი) ან მესამე მხარის სერვისი, როგორიცაა OpenDNS ოჯახის ფილტრი. OpenDNS ოჯახის ფილტრის ანგარიში გთავაზობთ უფასო ვარიანტს რეკლამის პროგრამების გასაფილტრად და მორგებული დომენების დაბლოკვისთვის.

ალტერნატიულად, ტექნიკის firewall, როგორიცაა pfSense (pfBlockerNG პაკეტთან ერთად) შეუძლია ამის გაკეთება მარტივად. სერვერების გაფილტვრა DNS ან firewall დონეზე ძალიან ეფექტურია. აქ მოცემულია რამდენიმე ბმული, რომელიც გეტყვით, თუ როგორ უნდა დაბლოკოთ ტელემეტრიის სერვერები pfSense firewall-ის გამოყენებით:

Microsoft-ის ტრაფიკის დაბლოკვა PFSense-ში | Adobo სინტაქსი: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ როგორ დავბლოკოთ Windows10 Telemetry-ში pfsense | Netgate ფორუმი: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense დაბლოკეთ Windows 10 თქვენს თვალყურის დევნაში: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 ტელემეტრია გვერდს უვლის VPN კავშირს: VPN: 
კომენტარი დისკუსიიდან Tzunamii-ს კომენტარი დისკუსიიდან "Windows 10 Telemetry is passesing VPN connection".
 კავშირის ბოლო წერტილები Windows 10 Enterprise-ისთვის, ვერსია 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

რედაქტორის შენიშვნა: მე არასოდეს დამიბლოკია ტელემეტრია ან Microsoft Update სერვერები ჩემს სისტემებში. თუ ძალიან გაწუხებთ კონფიდენციალურობა, შეგიძლიათ გამოიყენოთ ერთ-ერთი ზემოაღნიშნული გამოსავალი, რათა დაიბლოკოთ ტელემეტრიის სერვერები Windows Defender-ის გაფრთხილებების მიღების გარეშე.

ერთი პატარა მოთხოვნა: თუ მოგეწონათ ეს პოსტი, გთხოვთ გააზიაროთ?

თქვენგან ერთი "პატარა" გაზიარება სერიოზულად დაგეხმარება ამ ბლოგის ზრდაში. რამდენიმე შესანიშნავი წინადადება:

ჩამაგრება!
გააზიარეთ ის თქვენს საყვარელ ბლოგზე + Facebook, Reddit
ტვიტერში!

ასე რომ, დიდი მადლობა მხარდაჭერისთვის, ჩემო მკითხველო. თქვენი დროის 10 წამზე მეტი არ დასჭირდება. გაზიარების ღილაკები ზუსტად ქვემოთ არის. :)

შეატყობინეთ ამ რეკლამას