Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

С конца июля Microsoft детектирует файлы HOSTS, блокирующие связь Windows 10 с серверами телеметрии. Встроенная антивирусная программа Microsoft Defender классифицирует изменённые HOSTS-файлы как «SettingsModifier:Win32/HostsFileHijack».

Напомним, что соответствующие файлы располагаются в директории C:\Windows\system32\driver\etc\HOSTS. Чтобы изменить их содержимое, пользователь должен действовать с правами администратора.

Благодаря HOSTS можно резолвить имена хостов в IP-адреса в обход Domain Name System (DNS). Часто эти файлы используются для блокировки конкретных веб-сайтов («направляя» их на 127.0.0.1 или 0.0.0.0).

Microsoft Defender и раньше детектировал модифицированные файлы HOSTS, однако в последнее время появились многочисленные жалобы на срабатывание антивируса (1, 2, 3).

После этого на проблему обратили внимание специалисты компании BornCity. Поскольку HOSTS уже давно не используются в атаках, исследователи сделали вывод, что всё дело в ложном срабатывании.

Издание BleepingComputer провело своё тестирование, в ходе которого эксперты пробовали заблокировать разные сайты с помощью HOSTS. Как только дело дошло до блокировки серверов Microsoft, на которые отправляются данные телеметрии, встроенный антивирус тут же начал «ругаться».

В связи с этим исследователи не рекомендуют блокировать в HOSTS следующие адреса:

• www.microsoft.com
• microsoft.com
• telemetry.microsoft.com
• wns.notify.windows.com.akadns.net
• v10-win.vortex.data.microsoft.com.akadns.net
• us.vortex-win.data.microsoft.com
• us-v10.events.data.microsoft.com
• urs.microsoft.com.nsatc.net
• watson.telemetry.microsoft.com
• watson.ppe.telemetry.microsoft.com
• vsgallery.com
• watson.live.com
• watson.microsoft.com
• telemetry.remoteapp.windowsazure.com
• telemetry.urs.microsoft.com