从7月底开始,微软已经开始检测阻止Windows10遥测服务器的主机文件,认为这是一个严重的安全风险。
HOSTS文件是一个文本文件,位于C:\WINDOWS\SYSTEM32\DRIVER\ETC\HOSTS,并且只能由具有管理员权限的程序编辑。
此文件用于在不使用域名系统(DNS)的情况下将主机名解析为IP地址。
此文件通常用于通过将主机分配给127.0.0.1或0.0.0.0 IP地址来阻止计算机访问远程站点。
例如,如果您将以下行添加到Windows主机文件,它将阻止用户访问www.google.com,因为您的浏览器会认为您正在尝试连接到本地计算机127.0.0.1。
自7月底以来,Windows10用户开始报告说,Windows defender已经开始检测修改后的主机文件是否对';SettingsModifier:Win32/HostsFileHijack';构成威胁。
检测到后,如果用户单击了查看详细信息选项,则只会显示他们受到设置修改器威胁的影响,并且具有潜在的有害行为,如下所示。
Beepingcomputer最初是从BornCity了解到这个问题的,虽然Microsoft Defender检测主机劫持并不是什么新鲜事,但看到这么多人突然报告检测到这个问题是很奇怪的[1,2,3,4,5]。
虽然过去同时袭击许多消费者的大范围感染并不是闻所未闻的,但对于今天Windows 10内置的安全性来说,这是相当不寻常的。
这让我相信这是假阳性或其他非恶意问题。
在玩过诸如屏蔽beepingcomputer和其他站点之类的通用主机文件修改后,我尝试在主机文件中添加一个针对微软遥测的阻止列表。
此列表添加了Windows操作系统和Microsoft软件用来将遥测和用户数据发回Microsoft的许多Microsoft服务器。
保存主机文件后,我立即收到以下警报,指出无法保存该文件,因为它包含病毒或可能不需要的软件。";我还收到了我的计算机感染了';SettingsModifier:Win32/HostsFileHijack.';';的警报。
因此,微软最近似乎没有更新他们的Microsoft Defender定义,以检测他们的服务器何时添加到主机文件中。
利用HOSTS文件拦截Windows10遥测的用户突然看到HOSTS文件劫持检测。
在我们的测试中,在Windows 10主机文件中检测到的一些Microsoft主机包括:
Www.microsoft.com microsoft.com telemetry.microsoft.com wns.notfy.windows.com.akadns.net v10-win.vortex.data.microsoft.com.akadns.net us.vortex-win.data.microsoft.com us-v10.events.data.microsoft.com urs.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.ppe.telemetry.microsoft.com vsGall.。
如果您决定清除此威胁,Microsoft将把HOSTS文件还原为其默认内容。
有意修改其主机文件的用户可以允许此威胁,但它可能会导致所有主机修改,甚至恶意修改。
因此,只有在您100%了解这样做所涉及的风险的情况下才允许威胁。