[Системное администрирование, Софт, IT-компании] Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
- (www).microsoft.com;
- microsoft.com;
- telemetry.microsoft.com;
- wns.notify.windows.com.akadns.net;
- v10-win.vortex.data.microsoft.com.akadns.net;
- us.vortex-win.data.microsoft.com;
- us-v10.events.data.microsoft.com;
- urs.microsoft.com.nsatc.net;
- watson.telemetry.microsoft.com;
- watson.ppe.telemetry.microsoft.com;
- vsgallery.com;
- watson.live.com;
- watson.microsoft.com;
- telemetry.remoteapp.windowsazure.com;
- telemetry.urs.microsoft.com.
Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, IT-компании] Мошенники начали массово создавать клоны Delivery Club, «Яндекс.Еды» и «СберМаркета» во время пандемии
- [Учебный процесс в IT, Управление персоналом, Карьера в IT-индустрии, IT-компании] Как инженеру профессионально развиваться в компании. Конспект митапа из серии “Инженер заходит в бар"
- [Сетевые технологии, CRM-системы, Разработка систем связи, IT-компании] Нишевые кейсы для телефонии с подключением Виртуальной АТС
- [Разработка под iOS, IT-компании] Apple пояснила требования к сторонним приложениям, которые могут стать браузером и почтой по умолчанию в iOS 14
- [Законодательство в IT, IT-компании] Евросоюз приостановил сделку Google по поглощению Fitbit
- [Open source, Разработка под Linux, Софт] Linux Kernel 5.8: что нового в ядре с самым большим количеством изменений за всю историю
- [IT-инфраструктура, IT-компании] БРП с интеллектом
- [Системное администрирование, Управление разработкой, Конференции, DevOps] DevOps с человеческим лицом
- [*nix, Настройка Linux, Софт] NextCloud в качестве сервиса по созданию защищенных ссылок
- [Информационная безопасность, IT-компании] BleepingComputer: Garmin получила ключ для расшифровки файлов после атаки вируса-вымогателя WastedLocker
Теги для поиска: #_sistemnoe_administrirovanie (Системное администрирование), #_soft (Софт), #_itkompanii (IT-компании), #_windows_10, #_microsoft_defender, #_hosts, #_telemetrija (телеметрия), #_sistemnoe_administrirovanie (
Системное администрирование
), #_soft (
Софт
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Май 14:09
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
 Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС. Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности. В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.  Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:  После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты. =========== Источник: habr.com =========== Похожие новости:
Системное администрирование ), #_soft ( Софт ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Май 14:09
Часовой пояс: UTC + 5