Windows Defender-varselet "HostsFileHijack" vises hvis telemetri er blokkert

MiscellaneaDec 20, 2021

Siden juli i forrige uke startet utgivelsen av Windows Defender Win32/HostsFileHijack "potensielt uønsket oppførsel" varsler hvis du hadde blokkert Microsofts Telemetri-servere ved å bruke HOSTS-filen.

forsvarer hostsfilehijack

Ut av det SettingsModifier: Win32/HostsFileHijack tilfeller rapportert på nett, den tidligste ble rapportert på Microsoft Answers-forum hvor brukeren sa:

Jeg får en alvorlig "potensielt uønsket" melding. Jeg har nåværende Windows 10 2004 (1904.388) og kun Defender som permanent beskyttelse.
Hvordan skal det vurderes, siden ingenting har endret seg hos vertene mine, det vet jeg. Eller er dette en falsk positiv melding? En annen sjekk med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware viser ingen infeksjon.

"HostsFileHijack" varsler hvis telemetri er blokkert

Etter å ha inspisert VERTER fil fra det systemet, ble det observert at brukeren hadde lagt til Microsoft Telemetry-servere til HOSTS-filen og rutet den til 0.0.0.0 (kjent som "null-ruting") for å blokkere disse adressene. Her er listen over telemetriadresser som er null-rutet av den brukeren.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 kvm.df.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetri.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Og eksperten Rob Koch svarte og sa:

Siden du null-ruter Microsoft.com og andre anerkjente nettsteder inn i et svart hull, vil Microsoft åpenbart se dette som potensielt uønsket aktivitet, så selvfølgelig oppdager de disse som PUA (ikke nødvendigvis ondsinnet, men uønsket) aktivitet, relatert til en vertsfil Kapring.

At du har bestemt deg for at det er noe du ønsker å gjøre er i utgangspunktet irrelevant.

Som jeg tydelig forklarte i mitt første innlegg, ble endringen for å utføre PUA-deteksjonene aktivert som standard med utgivelsen av Windows 10 versjon 2004, så det er hele årsaken til det plutselige problemet ditt. Ingenting er galt bortsett fra at du ikke foretrekker å betjene Windows på den måten som utvikleren Microsoft hadde til hensikt.

Men siden ditt ønske er å beholde disse ikke-støttede modifikasjonene i Hosts-filen, til tross for at de helt klart vil ødelegge mange av Windows-funksjonene nettsteder er utviklet for å støtte, vil du sannsynligvis være bedre å tilbakestille PUA-deteksjonsdelen av Windows Defender til deaktivert slik den pleide å være i tidligere versjoner av Windows.

Det var Günter Born hvem blogget om dette problemet først. Sjekk ut hans utmerkede innlegg Defender flagger Windows Hosts-filen som skadelig og hans påfølgende innlegg om dette emnet. Günter var også den første som skrev om Windows Defender/CCleaner PUP-deteksjon.

I bloggen sin noterer Günter at dette har skjedd siden 28. juli 2020. Microsoft Answers-innlegget diskutert ovenfor ble imidlertid opprettet 23. juli 2020. Så vi vet ikke hvilken Windows Defender Engine/klientversjon som introduserte Win32/HostsFileHijack nøyaktig telemetriblokkdeteksjon.

De nylige Windows Defender-definisjonene (utgitt fra 3. juli uke og utover) tar hensyn til de "tuklet" oppføringene i HOSTS-fil som uønsket og advarer brukeren om "potensielt uønsket oppførsel" - med trusselnivået angitt som "alvorlig".

Enhver HOSTS-filoppføring som inneholder et Microsoft-domene (f.eks. microsoft.com) som det nedenfor, vil utløse et varsel:

0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com

Windows Defender vil da gi tre alternativer til brukeren:

  • Fjerne
  • Karantene
  • Tillat på enheten.
forsvarer hostsfilehijack

Velger Fjerne vil tilbakestille HOSTS-filen til Windows-standardinnstillingene, og dermed fullstendig slette dine egendefinerte oppføringer hvis noen.

forsvarer hostsfilehijack

Så hvordan blokkerer jeg Microsofts telemetriservere?

Hvis Windows Defender-teamet ønsker å fortsette med deteksjonslogikken ovenfor, har du tre alternativer for å blokkere telemetri uten å få varsler fra Windows Defender.

Alternativ 1: Legg til HOSTS-fil i Windows Defender-ekskluderinger

Du kan be Windows Defender om å ignorere VERTER fil ved å legge den til ekskluderinger.

  1. Åpne Windows Defender Security-innstillinger, klikk på Virus- og trusselbeskyttelse.
  2. Under Virus- og trusselbeskyttelsesinnstillinger klikker du på Administrer innstillinger.
  3. Rull ned og klikk på Legg til eller fjern ekskluderinger
  4. Klikk på Legg til en ekskludering, og klikk på Fil.
  5. Velg filen C:\Windows\System32\drivers\etc\HOSTS og legg den til.
    forsvarer hostsfilehijack

Merk: Å legge til HOSTS til ekskluderingslisten betyr at hvis en skadelig programvare tukler med HOSTS-filen din i fremtiden, vil Windows Defender sitte stille og ikke gjøre noe med HOSTS-filen. Windows Defender-ekskluderinger må brukes med forsiktighet.

Alternativ 2: Deaktiver PUA/PUP-skanning av Windows Defender

PUA/PUP (potensielt uønsket applikasjon/program) er et program som inneholder adware, installerer verktøylinjer eller har uklare motiver. I versjoner tidligere enn Windows 10 2004, skannet ikke Windows Defender PUA eller PUP-er som standard. PUA/PUP-deteksjon var en opt-in-funksjon som måtte aktiveres ved hjelp av PowerShell eller Registerredigering.

håndpunktikonDe Win32/HostsFileHijack trussel reist av Windows Defender kommer under PUA/PUP-kategorien. Det betyr, ved deaktiverer PUA/PUP-skanning alternativet, kan du omgå Win32/HostsFileHijack filadvarsel til tross for at de har telemetrioppføringer i HOSTS-filen.

Merk: En ulempe med å deaktivere PUA/PUP er at Windows Defender ikke ville gjøre noe med det adware-pakkede oppsettet/installatørene som du utilsiktet laster ned.

tips pære ikonTips: Du kan ha Malwarebytes Premium (som inkluderer sanntidsskanning) som kjører sammen med Windows Defender. På den måten kan Malwarebytes ta seg av PUA/PUP-tingene.

Alternativ 3: Bruk en tilpasset DNS-server som Pi-hole eller pfSense brannmur

Teknisk kunnskapsrike brukere kan sette opp et Pi-Hole DNS-serversystem og blokkere adware- og Microsoft-telemetridomener. Blokkering på DNS-nivå krever vanligvis separat maskinvare (som Raspberry Pi eller en rimelig datamaskin) eller en tredjepartstjeneste som OpenDNS-familiefilter. OpenDNS familiefilterkonto gir et gratis alternativ for å filtrere adware og blokkere tilpassede domener.

Alternativt kan en maskinvarebrannmur som pfSense (sammen med pfBlockerNG-pakken) enkelt oppnå dette. Filtrering av servere på DNS- eller brannmurnivå er veldig effektivt. Her er noen lenker som forteller deg hvordan du blokkerer telemetriservere ved å bruke pfSense brannmur:

Blokkering av Microsoft-trafikk i PFSense | Adobo-syntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Slik blokkerer du i Windows10 Telemetri med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokker Windows 10 fra å spore deg: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetri omgår VPN-tilkobling: VPN: 

Kommentar fra diskusjon Tzunamiis kommentar fra diskusjon "Windows 10 Telemetri omgår VPN-tilkobling".
 Tilkoblingsendepunkter for Windows 10 Enterprise, versjon 2004 - Windows Personvern | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktørens notat: Jeg har aldri blokkert telemetri- eller Microsoft Update-servere i systemene mine. Hvis du er veldig bekymret for personvern, kan du bruke en av løsningene ovenfor for å blokkere telemetriserverne uten å få Windows Defender-varslene.

En liten forespørsel: Hvis du likte dette innlegget, kan du dele dette?

En "liten" andel fra deg ville virkelig hjelpe mye med veksten av denne bloggen. Noen gode forslag:
  • Fest den!
  • Del den på favorittbloggen din + Facebook, Reddit
  • Tweet det!
Så tusen takk for støtten min leser. Det vil ikke ta mer enn 10 sekunder av tiden din. Del-knappene er rett under. :)
Ezoiskrapporter denne annonsen