hosts Datei mit blockierten Microsoft URLs werden vom Defender als Win32/HostsFileHijack angezeigt

In der hosts Datei unter C:\Windows\System32\drivers\etc\hosts können bspw. Einträge von URLs hinzugefügt werden, die dann keinen Zugriff mehr auf den Rechner haben. Bei Links, die zu Microsoft Diensten führt, wird der Defender nun aber aktiv.

Ich hab mir das mal eben angeschaut und es ist wirklich so. Die hosts Datei selber kann man nur zum Beispiel mit dem NotePad öffnen, wenn dieser als Administrator gestartet ist. Also Notepad oder Editor in die Suche der Taskleiste eingeben und dann als Administrator starten. Dann über das Menü Datei -> Öffnen zum Pfad C:\Windows\System32\drivers\etc navigieren und auf „Alle Dateien“ umstellen, damit die hosts Datei sichtbar wird.

Nun kann man als Beispiel 0.0.0.0 microsoft.com eintragen. Bisher konnte man das ohne Probleme abspeichern. Jetzt funkt aber der Microsoft Defender dazwischen und gibt eine Warnmeldung heraus, dass es sich hier um eine Bedrohung handelt. Sie wird als SettingsModifier:Win32/HostsFileHijack angezeigt und blockiert. Eine Speicherung ist so also nicht möglich.

Erst wenn man diesen Zugriff unter Windows Sicherheit zulässt, dann lässt sich die Änderung auch speichern. Ansonsten wird eine „blanke“ hosts Datei hergestellt. Das Problem der Zulassung dabei ist, dass man dann nicht nur selber Zugriff auf die hosts Datei hat. Auch andere, nennen wir sie mal „Bösewichte“ könnten die hosts Datei dann auch manipulieren.

Viele haben anstatt irgendwelche Tools die hosts Datei immer mit den aktuellen Einträgen gefüttert, um Telemetrie nicht nur von Microsoft zu unterbinden. Dadurch das Microsoft seinen eigenen URLs nun einen Riegel vorschiebt, wird es natürlich komplizierter.

BleepingComputer hat mit Günter (BornCity) in der letzten Nacht darüber getüftelt und einige dieser URLs, die blockiert werden ausfindig gemacht.

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

hosts Datei mit blockierten Microsoft URLs werden vom Defender als Win32/HostsFileHijack angezeigt
weitere Artikel zu diesem Thema
zu den aktuellen News

60 Kommentare zu “hosts Datei mit blockierten Microsoft URLs werden vom Defender als Win32/HostsFileHijack angezeigt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.