Die Sorge von Microsoft um die Sicherheit seines Betriebssystems ist verständlich: Das größte Softwareunternehmen hat entschieden, dass es beim Schutz seiner PCs nicht auf Drittanbieter von Antivirensoftware vertrauen sollte. Leider kommt Windows Defender, das diese Verantwortung übernimmt, mit Bedrohungen bisher nicht sehr gut zurecht. Ja, mit jedem Update wird es besser, aber gleichzeitig verstärkt sich so ein Charakterzug wie der Verdacht nur. Und das gefällt vielen Nutzern überhaupt nicht..
Heute werden wir über den von Microsoft Defender ausgegebenen Fehler SettingsModifier: Win32 / HostsFileHijack sprechen, der in direktem Zusammenhang mit dem oben genannten steht.
Was ist diese Bedrohung?
In der Computerterminologie wird das Wort Hijack mit Virensoftware in Verbindung gebracht, die versucht, die Kontrolle über den Computer des Benutzers für die unpassendsten Zwecke zu übernehmen. Zum Beispiel, um Werbung anzuzeigen oder die Aktionen des PC-Besitzers zu verfolgen oder sogar vertrauliche Informationen, einschließlich Finanzinformationen, zu stehlen..
Wenn der Benutzer daher die Aufschrift SettingsModifier: Win32 / HostsFileHijack auf seinem Monitor sieht, hat er den begründeten Verdacht, dass er sich einen Virus eingefangen hat. Und er macht sich auf die Suche nach Informationen, wie er diesen Schadcode loswerden kann. Und sehr schnell wird er davon überzeugt, dass er höchstwahrscheinlich selbst der Schuldige für das Auftreten eines solchen Fehlers ist.
Es stellt sich heraus, dass Windows 10 Defender auf eine eigentümliche Weise auf die Deaktivierung der Microsoft-Telemetrie reagiert, indem der Zugriff auf einen ganzen Pool von Websites allein und einiger anderer Domänen blockiert wird. Solche Meldungen sind seit Ende Juli 2020 häufiger geworden, als die entsprechenden Änderungen durch das nächste Update des Betriebssystems eingeführt wurden..
Microsoft Defender hatte jedoch zuvor Änderungen am Inhalt der Hosts-Datei verfolgt und solche Aktionen durchaus als Bedrohung eingestuft. Diese Methode, die Hosts-Datei zu infizieren, wird von vielen Antivirenprogrammen überwacht, beispielsweise von Kaspersky Anti-Virus (Trojan.Win32.Qhost) oder McAfee, das diese Bedrohung Qhosts.apd nennt.
War jedoch das Hinzufügen neuer Zeilen in der Hosts-Datei zuvor Gegenstand der Analyse auf das Vorhandensein echter Bedrohungen, "beschwört" der Defender jetzt Benutzeraktionen, die darauf abzielen, den Zugriff des Betriebssystems auf die Server zu blockieren, die für die Bereitstellung der Telemetriefunktion verantwortlich sind .
Was ist diese Datei und welche Funktionen hat sie?
Es ist in den meisten Betriebssystemen vorhanden, einschließlich Microsoft, beginnend mit der XP-Version. Sein Speicherort ist unverändert, es ist das Verzeichnis C:\Windows\System32\drivers\etc\. Die Datei selbst gehört zum System, dh um sie zu bearbeiten, benötigen Sie Administratorrechte. Dabei handelt es sich um eine Klartextdatei, in die die Standortadressen in symbolischer Form eingetragen und ihnen eine digitale IP-Adresse zugeordnet wird. Die Bedeutung solcher Aktionen wird klar, wenn Sie wissen, dass Hosts in erster Linie verarbeitet werden und das Betriebssystem die Anfrage erst dann über das Domain Name System, also DNS, umleitet. Der offensichtlichste Weg, die Datei zu verwenden, besteht darin, den Zugriff auf bestimmte Sites zu blockieren, was erreicht werden kann, indem man ihnen eine lokale IP-Adresse wie 127.0.0.1 oder die nicht vorhandene 0.0.0.0 zuweist.
Aber diese Funktion wird auch von Viren verwendet, die Zeilen in Hosts einführen, die es dem Benutzer ermöglichen, auf eine andere Site als die, die er in die Adressleiste eingegeben hat, umzuleiten, dh eine clevere Umleitung vorzunehmen.
Daher ist es eine wirklich notwendige Aufgabe, den Inhalt dieser Datei zu verfolgen. Aber in unserem Fall betrachtete Windows den Versuch, den Zugriff auf Server im Besitz von Microsoft zu blockieren und die Telemetrie auf der Ebene der Bearbeitung der Hosts-Datei zu verfolgen, als Bedrohung.
Das Problem wurde nicht sofort entdeckt, aber es wurde bald klar, dass die Warnung SettingsModifier: Win32 / HostsFileHijack erscheinen würde, wenn der Benutzer den Zugriff auf eine der großen Domänen- und Subdomänenliste des Softwaregiganten verweigert:
Und obwohl in der Nachricht die Bedrohungsstufe als kritisch bezeichnet wird, entspricht dies natürlich nicht der Realität, da solche Aktionen von den Benutzern aus eigener Initiative ergriffen werden, um ihre Aktivitäten nicht verfolgen zu können, selbst wenn dies nicht der Fall ist erfolgt mit den plausibelsten Absichten. Was die Mehrheit natürlich bezweifelt.
Was tun, wenn eine Meldung erscheint
Wenn eine Bedrohungsmeldung angezeigt wird, werden Sie gleichzeitig aufgefordert, eines von drei möglichen Szenarien auszuwählen (dies ist die Standardantwort von Windows Defender auf solche Situationen):
- Löschen.
- In Quarantäne.
- Auf Gerät zulassen.
Wenn Sie die erste Option auswählen, versucht der Defender, wenn ein Virus erkannt wird, ihn zu entfernen. In unserem Fall wird die Hosts-Datei einfach in den Zustand zurückversetzt, den sie unmittelbar nach der Installation von Windows hatte, dh alle von Ihnen hinzugefügten Einträge werden gelöscht. Einschließlich derer, die die Telemetrie blockiert haben.
Wenn Sie "In Quarantäne verschieben" auswählen, wird die infizierte Datei an einen speziellen Ort verschoben, an dem sie nicht aktiv sein kann. Da wir jedoch eine Datei haben, die das Betriebssystem benötigt, wird sie wieder in ihren Standardzustand zurückgesetzt.
Durch Auswahl von "Nutzung zulassen" bitten Sie den Defender, die Dinge so zu belassen, wie sie sind. Das heißt, machen Sie nichts mit der hosts-Datei, die Sie gemäß Ihren Vorstellungen bearbeitet haben.
BEACHTUNG. Wenn Sie nichts tun und das Fenster nur schließen, werden Ihre Aktionen als Drücken der Schaltfläche "Löschen" interpretiert.
Wenn Sie die dritte Option gewählt haben, bereiten Sie sich darauf vor, dass diese Meldung erneut angezeigt wird. Wie behebe ich den Fehler? Nur durch Aufheben der Sperrung von Microsoft-Sites. Obwohl es eine alternative Lösung gibt: Den Defender komplett zu verweigern, werden wir diese Option nicht empfehlen. Auch wenn Sie eine gute Antivirensoftware installiert haben, die Ihnen viele Jahre treue Dienste geleistet hat.