การแจ้งเตือน “HostsFileHijack” ของ Windows Defender จะปรากฏขึ้นหาก Telemetry ถูกบล็อก

ตั้งแต่เดือนกรกฎาคมเมื่อสัปดาห์ที่แล้ว Windows Defender เริ่มออก Win32/HostsFileHijack “พฤติกรรมที่อาจไม่พึงประสงค์” จะแจ้งเตือนหากคุณบล็อกเซิร์ฟเวอร์ Telemetry ของ Microsoft โดยใช้ไฟล์ HOSTS

กองหลัง hostsfilehijack

ออกจาก SettingsModifier: Win32/HostsFileHijack คดีที่รายงานออนไลน์ คดีแรกสุดถูกรายงานที่ ฟอรั่มคำตอบของ Microsoft โดยที่ผู้ใช้ระบุว่า:

ฉันได้รับข้อความ "ที่อาจไม่ต้องการ" อย่างร้ายแรง ฉันมี Windows 10 2004 (1904.388) ปัจจุบันและมีเพียง Defender เท่านั้นที่เป็นการป้องกันแบบถาวร
การประเมินนั้นเป็นอย่างไร เนื่องจากไม่มีการเปลี่ยนแปลงใดๆ ที่โฮสต์ของฉัน ฉันรู้ดี หรือนี่เป็นข้อความเชิงบวกที่ผิดพลาด? การตรวจสอบครั้งที่สองกับ AdwCleaner หรือ Malwarebytes หรือ SUPERAntiSpyware แสดงว่าไม่มีการติดไวรัส

“HostsFileHijack” เตือนหาก Telemetry ถูกบล็อก

หลังจากตรวจสอบ เจ้าภาพ จากระบบนั้น พบว่าผู้ใช้เพิ่มเซิร์ฟเวอร์ Microsoft Telemetry ลงในไฟล์ HOSTS และกำหนดเส้นทางไปที่ 0.0.0.0 (เรียกว่า "null-routing") เพื่อบล็อกที่อยู่เหล่านั้น นี่คือรายการที่อยู่ telemetry ที่กำหนดเส้นทางเป็นโมฆะโดยผู้ใช้รายนั้น

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrussoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft.com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows.net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com 0.0.0.0 ข้อเสนอแนะ.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 รายงาน.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 การตั้งค่า sandbox.data.microsoft.com 0.0.0.0 การตั้งค่า win.data.microsoft.com 0.0.0.0 ตรม.df.telemetry.microsoft.com 0.0.0.0 ตรม.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0.0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0.0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox.data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft.com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0.0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

และผู้เชี่ยวชาญ Rob Koch ตอบว่า:

เนื่องจากคุณไม่ได้กำหนดเส้นทาง Microsoft.com และเว็บไซต์ที่มีชื่อเสียงอื่น ๆ ให้กลายเป็นหลุมดำ Microsoft จะเห็นสิ่งนี้อย่างชัดเจน กิจกรรมที่ไม่พึงประสงค์ ดังนั้นแน่นอนว่าพวกเขาตรวจพบสิ่งเหล่านี้เป็นกิจกรรม PUA (ไม่จำเป็นต้องเป็นอันตราย แต่ไม่ต้องการ) ที่เกี่ยวข้องกับไฟล์โฮสต์ จี้.

การที่คุณตัดสินใจว่าเป็นสิ่งที่คุณต้องการทำนั้นไม่เกี่ยวข้องเลย

ดังที่ฉันอธิบายไว้อย่างชัดเจนในโพสต์แรกของฉัน การเปลี่ยนแปลงในการดำเนินการตรวจจับ PUA นั้นเปิดใช้งานโดยค่าเริ่มต้นด้วยการเปิดตัว Windows 10 เวอร์ชัน 2004 นั่นเป็นเหตุผลทั้งหมดสำหรับปัญหากะทันหันของคุณ ไม่มีอะไรผิดปกติยกเว้นว่าคุณไม่ต้องการใช้งาน Windows ในลักษณะที่นักพัฒนา Microsoft ตั้งใจไว้

อย่างไรก็ตาม เนื่องจากคุณต้องการคงการแก้ไขที่ไม่สนับสนุนเหล่านี้ไว้ในไฟล์ Hosts แม้ว่าพวกเขาจะทำลายฟังก์ชัน Windows จำนวนมากได้อย่างชัดเจน ไซต์ต่างๆ ได้รับการออกแบบมาเพื่อรองรับ คุณน่าจะควรเปลี่ยนส่วนการตรวจจับ PUA ของ Windows Defender ให้ปิดการใช้งานเหมือนที่เคยเป็นในเวอร์ชันก่อนหน้าของ วินโดว์.

มันเป็น กุนเตอร์ บอร์น ที่บล็อกเกี่ยวกับปัญหานี้ก่อน ตรวจสอบโพสต์ที่ยอดเยี่ยมของเขา Defender แจ้งว่าไฟล์ Windows Hosts เป็นอันตราย และโพสต์ต่อมาในหัวข้อนี้ Günter ยังเป็นคนแรกที่เขียนเกี่ยวกับการตรวจจับ Windows Defender/CCleaner PUP

ในบล็อกของเขา Günter ตั้งข้อสังเกตว่าสิ่งนี้เกิดขึ้นตั้งแต่วันที่ 28 กรกฎาคม 2020 อย่างไรก็ตาม โพสต์ Microsoft Answers ที่กล่าวถึงข้างต้น ถูกสร้างขึ้นเมื่อวันที่ 23 กรกฎาคม 2020 ดังนั้นเราจึงไม่ทราบว่า Windows Defender Engine/ไคลเอ็นต์เวอร์ชันใดแนะนำ Win32/HostsFileHijack การตรวจจับบล็อก telemetry อย่างแน่นอน

คำจำกัดความของ Windows Defender ล่าสุด (ออกให้ตั้งแต่สัปดาห์ที่ 3 กรกฎาคมเป็นต้นไป) จะพิจารณารายการที่ 'ถูกดัดแปลง' เหล่านั้นใน ไฟล์ HOSTS เป็นสิ่งที่ไม่พึงปรารถนาและเตือนผู้ใช้ถึง “พฤติกรรมที่อาจไม่พึงประสงค์” — โดยมีระดับการคุกคามแสดงเป็น "รุนแรง".

รายการไฟล์ HOSTS ใดๆ ที่มีโดเมน Microsoft (เช่น microsoft.com) เช่น รายการด้านล่าง จะทริกเกอร์การแจ้งเตือน:

0.0.0.0 www.microsoft.com (หรือ) 127.0.0.1 www.microsoft.com

Windows Defender จะให้สามตัวเลือกแก่ผู้ใช้:

  • ลบ
  • การกักกัน
  • อนุญาตบนอุปกรณ์
กองหลัง hostsfilehijack

กำลังเลือก ลบ จะรีเซ็ตไฟล์ HOSTS เป็นการตั้งค่าเริ่มต้นของ Windows ซึ่งจะเป็นการลบรายการกำหนดเองของคุณทั้งหมด หากมี

กองหลัง hostsfilehijack

ฉันจะบล็อกเซิร์ฟเวอร์ telemetry ของ Microsoft ได้อย่างไร

หากทีม Windows Defender ต้องการใช้ตรรกะการตรวจจับข้างต้นต่อไป คุณมีสามตัวเลือกในการบล็อกการวัดและส่งข้อมูลทางไกลโดยไม่รับการแจ้งเตือนจาก Windows Defender

ตัวเลือกที่ 1: เพิ่มไฟล์ HOSTS ในการยกเว้นของ Windows Defender

คุณสามารถบอกให้ Windows Defender ละเว้น เจ้าภาพ ไฟล์โดยเพิ่มลงในข้อยกเว้น

  1. เปิดการตั้งค่าความปลอดภัยของ Windows Defender คลิกการป้องกันไวรัสและภัยคุกคาม
  2. ภายใต้ การตั้งค่าการป้องกันไวรัสและภัยคุกคาม ให้คลิก จัดการการตั้งค่า
  3. เลื่อนลงแล้วคลิกเพิ่มหรือลบการยกเว้น
  4. คลิก เพิ่มการยกเว้น แล้วคลิก ไฟล์
  5. เลือกไฟล์ C:\Windows\System32\drivers\etc\HOSTS และเพิ่ม
    กองหลัง hostsfilehijack

บันทึก: การเพิ่ม HOSTS ในรายการยกเว้นหมายความว่าหากมัลแวร์ยุ่งเกี่ยวกับไฟล์ HOSTS ของคุณในอนาคต Windows Defender จะหยุดทำงานและไม่ทำอะไรกับไฟล์ HOSTS ต้องใช้การยกเว้น Windows Defender อย่างระมัดระวัง

ตัวเลือกที่ 2: ปิดใช้งานการสแกน PUA/PUP โดย Windows Defender

PUA/PUP (แอปพลิเคชั่น/โปรแกรมที่อาจไม่ต้องการ) เป็นโปรแกรมที่มีแอดแวร์ ติดตั้งแถบเครื่องมือ หรือมีแรงจูงใจที่ไม่ชัดเจน ใน รุ่น ก่อนหน้า Windows 10 2004 Windows Defender ไม่ได้สแกน PUA หรือ PUP ตามค่าเริ่มต้น การตรวจจับ PUA/PUP เป็นคุณสมบัติการเลือกใช้ ที่ต้องเปิดใช้งานโดยใช้ PowerShell หรือ Registry Editor

ไอคอนจุดมือดิ Win32/HostsFileHijack ภัยคุกคามจาก Windows Defender อยู่ในหมวด PUA/PUP แปลว่า โดย ปิดการใช้งานการสแกน PUA/PUP ตัวเลือกคุณสามารถข้าม Win32/HostsFileHijack คำเตือนไฟล์แม้ว่าจะมีรายการ telemetry ในไฟล์ HOSTS

บันทึก: ข้อเสียของการปิดใช้งาน PUA/PUP คือ Windows Defender จะไม่ดำเนินการใดๆ เกี่ยวกับการตั้งค่า/โปรแกรมติดตั้งที่มาพร้อมกับแอดแวร์ที่คุณดาวน์โหลดโดยไม่ได้ตั้งใจ

เคล็ดลับไอคอนหลอดไฟเคล็ดลับ: คุณสามารถมี Malwarebytes Premium (ซึ่งรวมถึงการสแกนตามเวลาจริง) ที่ทำงานควบคู่ไปกับ Windows Defender ด้วยวิธีนี้ Malwarebytes สามารถดูแล PUA/PUP ได้

ตัวเลือก 3: ใช้เซิร์ฟเวอร์ DNS ที่กำหนดเอง เช่น Pi-hole หรือไฟร์วอลล์ pfSense

ผู้ใช้ที่เชี่ยวชาญด้านเทคนิคสามารถตั้งค่าระบบเซิร์ฟเวอร์ Pi-Hole DNS และบล็อกแอดแวร์และโดเมนการส่งข้อมูลทางไกลของ Microsoft การบล็อกระดับ DNS มักจะต้องใช้ฮาร์ดแวร์แยกต่างหาก (เช่น Raspberry Pi หรือคอมพิวเตอร์ราคาประหยัด) หรือบริการของบุคคลที่สาม เช่น ตัวกรองตระกูล OpenDNS บัญชีตัวกรองตระกูล OpenDNS ให้ตัวเลือกฟรีในการกรองแอดแวร์และบล็อกโดเมนที่กำหนดเอง

อีกทางหนึ่ง ไฟร์วอลล์ฮาร์ดแวร์ เช่น pfSense (พร้อมกับแพ็คเกจ pfBlockerNG) สามารถทำสิ่งนี้ได้อย่างง่ายดาย การกรองเซิร์ฟเวอร์ที่ระดับ DNS หรือไฟร์วอลล์นั้นมีประสิทธิภาพมาก นี่คือลิงค์บางส่วนที่บอกวิธีบล็อกเซิร์ฟเวอร์ telemetry โดยใช้ไฟร์วอลล์ pfSense:

การบล็อกการรับส่งข้อมูลของ Microsoft ใน PFSense | ไวยากรณ์ Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ วิธีบล็อกใน Windows10 Telemetry ด้วย pfsense | ฟอรั่มเน็ตเกท: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense บล็อก Windows 10 จากการติดตามคุณ: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetry กำลังข้ามการเชื่อมต่อ VPN: VPN: 
ความคิดเห็น จากการสนทนา ความคิดเห็นของ Tzunamii จากการสนทนา "Windows 10 Telemetry กำลังข้ามการเชื่อมต่อ VPN".
ปลายทางการเชื่อมต่อสำหรับ Windows 10 Enterprise เวอร์ชัน 2004 - ความเป็นส่วนตัวของ Windows | เอกสารของ Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

หมายเหตุบรรณาธิการ: ฉันไม่เคยบล็อกเซิร์ฟเวอร์ telemetry หรือ Microsoft Update ในระบบของฉัน หากคุณกังวลเรื่องความเป็นส่วนตัวเป็นอย่างมาก คุณสามารถใช้วิธีแก้ไขปัญหาชั่วคราวด้านบนนี้เพื่อบล็อกเซิร์ฟเวอร์การวัดและส่งข้อมูลทางไกลโดยไม่ได้รับการแจ้งเตือนจาก Windows Defender


คำขอเล็กน้อย: หากคุณชอบโพสต์นี้ โปรดแชร์สิ่งนี้

หนึ่งส่วนแบ่ง "เล็กน้อย" จากคุณจะช่วยอย่างมากในการเติบโตของบล็อกนี้ คำแนะนำที่ดีบางประการ:
  • ขามัน!
  • แชร์ไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
  • ทวีตมัน!
ขอบคุณมากสำหรับการสนับสนุนของคุณผู้อ่านของฉัน จะใช้เวลาไม่เกิน 10 วินาที ปุ่มแชร์อยู่ด้านล่าง :)

อีโซอิกรายงานโฆษณานี้