WantToBePro
05.08.2020, 17:22
https://habrastorage.org/webt/4j/ns/hu/4jnshuxmxut5ro_zficnod0hlgw.jpeg
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
https://habrastorage.org/webt/ub/_m/-l/ub_m-lboihjtd-2fy9qjbqfxki4.jpeg
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
(www).microsoft.com;
microsoft.com;
telemetry.microsoft.com;
wns.notify.windows.com.akadns.net;
v10-win.vortex.data.microsoft.com.akadns.net;
us.vortex-win.data.microsoft.com;
us-v10.events.data.microsoft.com;
urs.microsoft.com.nsatc.net;
watson.telemetry.microsoft.com;
watson.ppe.telemetry.microsoft.com;
vsgallery.com;
watson.live.com;
watson.microsoft.com;
telemetry.remoteapp.windowsazure.com;
telemetry.urs.microsoft.com.
Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.
Источник:
https://habr.com/ru/news/t/513934/ (https://habr.com/ru/news/t/513934/)
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
https://habrastorage.org/webt/ub/_m/-l/ub_m-lboihjtd-2fy9qjbqfxki4.jpeg
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
(www).microsoft.com;
microsoft.com;
telemetry.microsoft.com;
wns.notify.windows.com.akadns.net;
v10-win.vortex.data.microsoft.com.akadns.net;
us.vortex-win.data.microsoft.com;
us-v10.events.data.microsoft.com;
urs.microsoft.com.nsatc.net;
watson.telemetry.microsoft.com;
watson.ppe.telemetry.microsoft.com;
vsgallery.com;
watson.live.com;
watson.microsoft.com;
telemetry.remoteapp.windowsazure.com;
telemetry.urs.microsoft.com.
Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.
Источник:
https://habr.com/ru/news/t/513934/ (https://habr.com/ru/news/t/513934/)