Desde julho da semana passada, o Windows Defender começou a emitir Win32 / HostsFileHijack
“Comportamento potencialmente indesejado” alerta se você bloqueou os servidores de Telemetria da Microsoft usando o arquivo HOSTS.
Fora de SettingsModifier: Win32 / HostsFileHijack
casos relatados online, o mais antigo foi relatado no Fóruns de respostas da Microsoft onde o usuário declarou:
Estou recebendo uma mensagem séria "potencialmente indesejada". Tenho o atual Windows 10 2004 (1904.388) e apenas o Defender como proteção permanente.
Como é que avaliar, já que nada mudou nos meus anfitriões, eu sei disso. Ou esta é uma mensagem de falso positivo? Uma segunda verificação com AdwCleaner ou Malwarebytes ou SUPERAntiSpyware não mostra infecção.
Alerta “HostsFileHijack” se a telemetria estiver bloqueada
Depois de inspecionar o HOSTS
arquivo desse sistema, observou-se que o usuário adicionou servidores Microsoft Telemetry ao arquivo HOSTS e o encaminhou para 0.0.0.0 (conhecido como “roteamento nulo”) para bloquear esses endereços. Aqui está a lista de endereços de telemetria roteados por nulo por esse usuário.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
E o especialista Rob Koch respondeu dizendo:
Uma vez que você não está encaminhando o Microsoft.com e outros sites respeitáveis para um buraco negro, a Microsoft obviamente veria isso como potencialmente atividade indesejada, então é claro que eles detectam isso como atividade PUA (não necessariamente maliciosa, mas indesejada), relacionada a um Arquivo Hosts Sequestro.
O fato de você ter decidido que é algo que deseja fazer é basicamente irrelevante.
Como expliquei claramente em meu primeiro post, a mudança para realizar as detecções de PUA foi habilitada por padrão com o lançamento do Windows 10 Versão 2004, então esse é o motivo do seu problema repentino. Nada está errado, exceto que você não prefere operar o Windows da maneira pretendida pelo desenvolvedor Microsoft.
No entanto, uma vez que seu desejo é manter essas modificações sem suporte no arquivo Hosts, apesar do fato de que irão claramente quebrar muitas das funções do Windows, sites são projetados para oferecer suporte, provavelmente seria melhor reverter a parte de detecção de PUA do Windows Defender para desabilitada, como costumava ser nas versões anteriores do Janelas.
Era Günter Born quem blogou sobre este assunto primeiro. Confira sua excelente postagem O Defender sinaliza o arquivo Hosts do Windows como malicioso e sua postagem subsequente sobre este tópico. Günter também foi o primeiro a escrever sobre a detecção de PUPs do Windows Defender / CCleaner.
Em seu blog, Günter observa que isso vem acontecendo desde 28 de julho de 2020. No entanto, a postagem do Microsoft Answers discutida acima foi criada em 23 de julho de 2020, no entanto. Portanto, não sabemos qual versão do Windows Defender Engine / cliente introduziu o Win32 / HostsFileHijack
detecção de bloco de telemetria exatamente.
As definições recentes do Windows Defender (emitidas a partir da semana de 3 de julho) consideram essas entradas "adulteradas" no HOSTS arquivo como indesejável e avisa o usuário sobre "comportamento potencialmente indesejado" - com o nível de ameaça denotado como "forte".
Qualquer entrada de arquivo HOSTS contendo um domínio da Microsoft (por exemplo, microsoft.com), como o abaixo, acionaria um alerta:
0.0.0.0 www.microsoft.com (ou) 127.0.0.1 www.microsoft.com
O Windows Defender forneceria então três opções ao usuário:
- Remover
- Quarentena
- Permitir no dispositivo.
Selecionando Remover redefiniria o arquivo HOSTS para as configurações padrão do Windows, apagando completamente as entradas personalizadas, se houver.
Então, como faço para bloquear os servidores de telemetria da Microsoft?
Se a equipe do Windows Defender quiser continuar com a lógica de detecção acima, você terá três opções para bloquear a telemetria sem receber alertas do Windows Defender.
Opção 1: Adicionar arquivo HOSTS às exclusões do Windows Defender
Você pode dizer ao Windows Defender para ignorar o HOSTS
arquivo adicionando-o às exclusões.
- Abra as configurações de Segurança do Windows Defender, clique em Proteção contra vírus e ameaças.
- Em Configurações de proteção contra vírus e ameaças, clique em Gerenciar configurações.
- Role para baixo e clique em Adicionar ou remover exclusões
- Clique em Adicionar uma exclusão e clique em Arquivo.
- Selecione o arquivo
C: \ Windows \ System32 \ drivers \ etc \ HOSTS
e adicione-o.
Observação: Adicionar HOSTS à lista de exclusões significa que, se um malware interferir em seu arquivo HOSTS no futuro, o Windows Defender ficará parado e não fará nada a respeito do arquivo HOSTS. As exclusões do Windows Defender devem ser usadas com cautela.
Opção 2: Desativar verificação PUA / PUP pelo Windows Defender
PUA / PUP (aplicativo / programa potencialmente indesejado) é um programa que contém adware, instala barras de ferramentas ou tem motivos obscuros. No versões anterior ao Windows 10 2004, o Windows Defender não verifica PUA ou PUPs por padrão. A detecção de PUA / PUP era um recurso opcional que precisava ser habilitado usando o PowerShell ou o Editor do Registro.
O Win32 / HostsFileHijack
ameaça levantada pelo Windows Defender vem na categoria PUA / PUP. Isso significa que por desabilitando a varredura PUA / PUP opção, você pode ignorar a Win32 / HostsFileHijack
aviso de arquivo, apesar de ter entradas de telemetria no arquivo HOSTS.
Observação: Uma desvantagem de desabilitar PUA / PUP é que o Windows Defender não faria nada sobre a configuração / instaladores agrupados com adware que você baixou inadvertidamente.
Dica: Você pode ter Malwarebytes Premium (que inclui verificação em tempo real) em execução junto com o Windows Defender. Dessa forma, o Malwarebytes pode cuidar do material PUA / PUP.
Opção 3: use um servidor DNS personalizado como Pi-hole ou firewall pfSense
Usuários experientes em tecnologia podem configurar um sistema de servidor DNS Pi-Hole e bloquear adware e domínios de telemetria da Microsoft. O bloqueio no nível de DNS geralmente requer hardware separado (como Raspberry Pi ou um computador de baixo custo) ou um serviço de terceiros como o filtro da família OpenDNS. A conta de filtro da família OpenDNS oferece uma opção gratuita para filtrar adware e bloquear domínios personalizados.
Como alternativa, um firewall de hardware como o pfSense (junto com o pacote pfBlockerNG) pode fazer isso facilmente. A filtragem de servidores no nível de DNS ou firewall é muito eficaz. Aqui estão alguns links que explicam como bloquear os servidores de telemetria usando o firewall pfSense:
Bloqueando o tráfego da Microsoft no PFSense | Sintaxe do Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Como bloquear na telemetria do Windows10 com pfsense | Fórum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Impedir que o Windows 10 rastreie você: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ A telemetria do Windows 10 está ignorando a conexão VPN: VPN:Comente da discussão Comentário de Tzunamii da discussão "A telemetria do Windows 10 está contornando a conexão VPN".Pontos de extremidade de conexão para Windows 10 Enterprise, versão 2004 - Privacidade do Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota do editor: Nunca bloqueei a telemetria ou os servidores do Microsoft Update em meus sistemas. Se você está muito preocupado com a privacidade, pode usar uma das soluções alternativas acima para bloquear os servidores de telemetria sem receber os alertas do Windows Defender.
Um pequeno pedido: Se você gostou deste post, por favor, compartilhe?
Um "pequeno" compartilhamento seu ajudaria seriamente no crescimento deste blog. Algumas ótimas sugestões:- Fixá-lo!
- Compartilhe com seu blog favorito + Facebook, Reddit
- Tweet isso!