Od júla minulého týždňa začal vydávať Windows Defender Win32/HostsFileHijack „potenciálne nežiaduce správanie“, ak ste zablokovali telemetrické servery spoločnosti Microsoft pomocou súboru HOSTS.
Von z Modifikátor nastavení: Win32/HostsFileHijack prípady hlásené online, najskorší bol hlásený na Fóra Microsoft Answers kde užívateľ uviedol:
Dostávam vážnu „potenciálne nechcenú“ správu. Mám aktuálny Windows 10 2004 (1904.388) a ako trvalú ochranu len Defender.
Ako to mám hodnotiť, keďže u mojich hostiteľov sa nič nezmenilo, viem to. Alebo je to falošne pozitívna správa? Druhá kontrola pomocou AdwCleaner alebo Malwarebytes alebo SUPERAntiSpyware neukáže žiadnu infekciu.
Upozornenie „HostsFileHijack“, ak je telemetria zablokovaná
Po prehliadke HOSTITELIA z tohto systému sa zistilo, že používateľ pridal servery Microsoft Telemetry do súboru HOSTS a nasmeroval ho na 0.0.0.0 (známe ako „nulové smerovanie“), aby tieto adresy zablokoval. Tu je zoznam telemetrických adries nulových smerovaných týmto používateľom.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reporty.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 m2.df.telemetry.microsoft.com. 0.0.0.0 m2.telemetry.microsoft.com. 0.0.0.0 m2.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetria.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
A expert Rob Koch odpovedal:
Keďže Microsoft.com a ďalšie renomované webové stránky smerujete nulovo do čiernej diery, Microsoft by to zjavne považoval za potenciálne nežiaducu aktivitu, takže ich samozrejme detegujú ako PUA (nie nevyhnutne škodlivú, ale nežiaducu) aktivitu súvisiacu so súborom hostiteľov Uniesť.
To, že ste sa rozhodli, že je to niečo, čo chcete urobiť, je v podstate irelevantné.
Ako som jasne vysvetlil vo svojom prvom príspevku, zmena na vykonanie detekcie PUA bola predvolene povolená s vydaním systému Windows 10 verzie 2004, takže to je celý dôvod vášho náhleho problému. Nič nie je zlé, okrem toho, že nechcete prevádzkovať Windows spôsobom, ktorý vývojár Microsoft zamýšľal.
Keďže je však vaším želaním ponechať tieto nepodporované úpravy v súbore Hosts, napriek tomu, že jasne narušia mnohé funkcie systému Windows, stránky sú navrhnuté tak, aby podporovali, pravdepodobne by bolo lepšie vrátiť časť detekcie PUA programu Windows Defender na zakázanú, ako to bývalo v predchádzajúcich verziách Windows.
To bolo Narodil sa Günter ktorý o tomto probléme napísal blog ako prvý. Pozrite si jeho skvelý príspevok Defender označí súbor Windows Hosts ako škodlivý a jeho následný príspevok na túto tému. Günter bol tiež prvý, kto napísal o detekcii PUP programu Windows Defender/CCleaner.
Günter vo svojom blogu poznamenáva, že sa to deje od 28. júla 2020. Vyššie diskutovaný príspevok Microsoft Answers bol však vytvorený 23. júla 2020. Nevieme teda, ktorá verzia Windows Defender Engine/klienta bola predstavená Win32/HostsFileHijack detekcia telemetrického bloku presne.
Nedávne definície programu Windows Defender (vydané od 3. júla) zohľadňujú tieto „falšované“ položky v HOSTS ako nežiaduce a varuje používateľa pred „potenciálne nežiaducim správaním“ — s úrovňou ohrozenia označenou ako „ťažké“.
Akákoľvek položka súboru HOSTS obsahujúca doménu Microsoft (napr. microsoft.com), ako je napríklad tá uvedená nižšie, spustí upozornenie:
0.0.0.0 www.microsoft.com (alebo) 127.0.0.1 www.microsoft.com
Program Windows Defender potom používateľovi poskytne tri možnosti:
- Odstrániť
- Karanténa
- Povoliť na zariadení.
Výber Odstrániť by obnovil súbor HOSTS na predvolené nastavenia systému Windows, čím by sa úplne vymazali vaše vlastné záznamy, ak nejaké existujú.
Ako teda zablokujem telemetrické servery spoločnosti Microsoft?
Ak chce tím programu Windows Defender pokračovať vo vyššie uvedenej logike zisťovania, máte tri možnosti na blokovanie telemetrie bez toho, aby ste dostávali upozornenia z programu Windows Defender.
Možnosť 1: Pridajte súbor HOSTS do vylúčení programu Windows Defender
Programu Windows Defender môžete povedať, aby ignoroval HOSTITELIA pridaním do výnimiek.
- Otvorte nastavenia zabezpečenia programu Windows Defender, kliknite na položku Ochrana pred vírusmi a hrozbami.
- V časti Nastavenia ochrany pred vírusmi a hrozbami kliknite na položku Spravovať nastavenia.
- Posuňte zobrazenie nadol a kliknite na položku Pridať alebo odstrániť vylúčenia
- Kliknite na Pridať vylúčenie a kliknite na Súbor.
- Vyberte súbor
C:\Windows\System32\drivers\etc\HOSTSa pridajte ho.
Poznámka: Pridanie HOSTS do zoznamu vylúčení znamená, že ak malvér v budúcnosti naruší váš súbor HOSTS, program Windows Defender bude nečinne sedieť a so súborom HOSTS nebude nič robiť. Vylúčenia programu Windows Defender sa musia používať opatrne.
Možnosť 2: Zakážte skenovanie PUA/PUP pomocou programu Windows Defender
PUA/PUP (potenciálne nechcená aplikácia/program) je program, ktorý obsahuje adware, inštaluje panely s nástrojmi alebo má nejasné motívy. V verzií skôr ako Windows 10 2004, Windows Defender štandardne nekontroloval PUA alebo PUP. Detekcia PUA/PUP bola voliteľnou funkciou ktoré bolo potrebné povoliť pomocou prostredia PowerShell alebo Editora databázy Registry.
The
Win32/HostsFileHijack hrozba vyvolaná programom Windows Defender patrí do kategórie PUA/PUP. To znamená tým, že vypnutie skenovania PUA/PUP možnosť, môžete obísť Win32/HostsFileHijack varovanie súboru napriek tomu, že v súbore HOSTS máte telemetrické záznamy.
Poznámka: Nevýhodou deaktivácie PUA/PUP je, že Windows Defender neurobí nič s inštalačnými/inštalačnými programami spojenými s adware, ktoré si neúmyselne stiahnete.
Tip: Môžeš mať Malwarebytes Premium (zahŕňa skenovanie v reálnom čase) spustené spolu s programom Windows Defender. Týmto spôsobom sa Malwarebytes môže postarať o veci PUA/PUP.
Možnosť 3: Použite vlastný server DNS, ako je brána Pi-hole alebo pfSense
Technicky zdatní používatelia môžu nastaviť serverový systém Pi-Hole DNS a blokovať adware a telemetrické domény Microsoftu. Blokovanie na úrovni DNS zvyčajne vyžaduje samostatný hardvér (napríklad Raspberry Pi alebo lacný počítač) alebo službu tretej strany, ako je napríklad filter rodiny OpenDNS. Účet rodinného filtra OpenDNS poskytuje bezplatnú možnosť filtrovania adwaru a blokovania vlastných domén.
Alternatívne to môže ľahko dosiahnuť hardvérový firewall ako pfSense (spolu s balíkom pfBlockerNG). Filtrovanie serverov na úrovni DNS alebo firewallu je veľmi efektívne. Tu je niekoľko odkazov, ktoré vám povedia, ako blokovať telemetrické servery pomocou brány firewall pfSense:
Blokovanie prenosu Microsoftu v PFSense | Syntax Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Ako blokovať v telemetrii Windows10 pomocou pfsense | Fórum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Zablokujte sledovanie systému Windows 10: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Telemetria Windowsu 10 obchádza pripojenie VPN: VPN:Komentujte z diskusie Tzunamiiho komentár z diskusie "Windows 10 Telemetria obchádza pripojenie VPN".Koncové body pripojenia pre Windows 10 Enterprise, verzia 2004 – Ochrana osobných údajov v systéme Windows | Dokumenty Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Poznámka redakcie: Vo svojich systémoch som nikdy neblokoval telemetrické servery ani servery Microsoft Update. Ak máte veľké obavy o súkromie, môžete použiť jedno z vyššie uvedených riešení na zablokovanie telemetrických serverov bez toho, aby ste dostávali upozornenia programu Windows Defender.
Jedna malá prosba: Ak sa vám tento príspevok páčil, zdieľajte ho?
Jedno "drobné" zdieľanie od vás by vážne pomohlo rastu tohto blogu. Niekoľko skvelých návrhov:- Pripnúť!
- Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
- Tweetujte!
nahlásiť tento inzerát