Журналисты Bleeping Computer обратили внимание, что с недавних пор Windows 10 и Windows Defender считают файл hosts (C:\Windows\system32\driver\etc\hosts) опасным, если в нем прописаны настройки, блокирующие сбор телеметрии.

По информации издания, с конца июля измененный файл hosts определяется как представляющий угрозу «SettingsModifier: Win32/HostsFileHijack». Если получив такое предупреждение пользователь нажимает «Подробнее», ему не объясняют ничего, лишь сообщают, что файл демонстрирует «потенциально нежелательное поведение».

Если пользователь согласится устранить «угрозу», система очистит файл hosts и вернет его к состоянию по умолчанию. Также есть возможность проигнорировать проблему, но это разрешит любые модификации hosts в будущем, в том числе и вредоносные.

Основатель Bleeping Computer, Лоренс Абрамс, отмечает, что в целом проблема ложноположительных срабатываний на файл hosts не нова, однако в последние недели люди вдруг стали массово жаловаться на подобные предупреждения (1, 2, 3, 4, 5).

Абрамс пишет, что он решил, будто дело опять в ложноположительных срабатываниях, но все же провел несколько тестов. Как оказалось, достаточно заблокировать через файл hosts серверы Microsoft, собирающие телеметрию, и тогда-то начинаются проблемы. В частности, проблемы возникают, если попытаться заблокировать следующие адреса.

  • www.microsoft.com
  • microsoft.com
  • telemetry.microsoft.com
  • wns.notify.windows.com.akadns.net
  • v10-win.vortex.data.microsoft.com.akadns.net
  • us.vortex-win.data.microsoft.com
  • us-v10.events.data.microsoft.com
  • urs.microsoft.com.nsatc.net
  • watson.telemetry.microsoft.com
  • watson.ppe.telemetry.microsoft.com
  • vsgallery.com
  • watson.live.com
  • watson.microsoft.com
  • telemetry.remoteapp.windowsazure.com
  • telemetry.urs.microsoft.com

Из-за этого специалист пришел к выводу, что Microsoft, по всей видимости, недавно обновила Defender таким образом, чтобы он определял, если серверы компании были добавлены в файл hosts, и пользователь пытается блокировать сбор телеметрии.

В компании Microsoft пока никак не прокомментировали ситуацию.

8 комментариев

  1. Аватар

    Novosedoff

    05.08.2020 в 13:46

    Да уж. Причём даже если выбрать «Разрешить» в ответ на предупреждение о якобе угрозе, то через неделю предупреждение почему-то повторяется.
    Вы, кстати, не забывайте ещё и о серверах для микрософтовского Скайпа, это касательно вашего списочка серверов.

    • Аватар

      Anton

      10.08.2020 в 09:53

      Хм, а чё делать если вынужден пользоваться скайпом?

      • Аватар

        user2010

        10.08.2020 в 21:35

        Либо вы юзер! Тогда попросите профессионала! Он вам установит софт и пох.

      • Аватар

        medusa_01

        14.08.2020 в 00:01

        Ну, если Скайп это предел мечтаний, тогда оно конечно что-ж, не без того-ж. А кроме этой софтины существует масса альтернатив. Причем есть такие, которые по параметрам аудио/видео превосходят скайп.

  2. Аватар

    Novosedoff

    05.08.2020 в 13:47

    >> Также есть возможность проигнорировать проблему, но это разрешит любые модификации hosts в будущем, в том числе и вредоносные.<<

    Интересно, какой вредонос будет что-то блокировать в интернете через hosts? Сам себя что ли? Или серверы майкрософт и гугл?

    • Аватар

      MKMatriX

      06.08.2020 в 06:36

      На деле раньше он и правда использовался, встраивал вместо вк и одноклассников сайтик с требованием денег, за код деактивации.

    • Аватар

      Lmar

      06.08.2020 в 10:04

      Не блокировать, а перенаправлять на фишинговые сайты

  3. Аватар

    Гамлиэль Фишкин (fishk.in)

    16.08.2020 в 09:42

    После множества подобных историй люди продолжают использовать Windows. Мыши плакали, кололись, но всё равно жрали кактус.

Оставить мнение