Desde julho da semana passada, o Windows Defender começou a emitir Win32 / HostsFileHijack “Comportamento potencialmente indesejado” alerta se você bloqueou os servidores de Telemetria da Microsoft usando o arquivo HOSTS.
Fora de SettingsModifier: Win32 / HostsFileHijack casos relatados online, o mais antigo foi relatado no Fóruns de respostas da Microsoft onde o usuário declarou:
Estou recebendo uma mensagem séria 'potencialmente indesejada'. Tenho o atual Windows 10 2004 (1904.388) e apenas o Defender como proteção permanente.
Como isso é avaliar, já que nada mudou nos meus anfitriões, eu sei disso. Ou esta é uma mensagem de falso positivo? Uma segunda verificação com AdwCleaner ou Malwarebytes ou SUPERAntiSpyware não mostra infecção.
Alerta “HostsFileHijack” se a telemetria estiver bloqueada
Depois de inspecionar o HOSTS arquivo desse sistema, observou-se que o usuário adicionou servidores Microsoft Telemetry ao arquivo HOSTS e o encaminhou para 0.0.0.0 (conhecido como “roteamento nulo”) para bloquear esses endereços. Aqui está a lista de endereços de telemetria roteados por nulo por esse usuário.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderno. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
E o especialista Rob Koch respondeu dizendo:
Como você não está direcionando o Microsoft.com e outros sites confiáveis para um buraco negro, a Microsoft obviamente veria isso como atividade potencialmente indesejada, então é claro que eles detectam isso como atividade PUA (não necessariamente maliciosa, mas indesejada), relacionada a um Hosts Hijack de arquivo.
O fato de você ter decidido que é algo que deseja fazer é basicamente irrelevante.
Como expliquei claramente em minha primeira postagem, a alteração para realizar as detecções do PUA foi habilitada por padrão com o lançamento do Windows 10 Versão 2004, então esse é o motivo do seu problema repentino. Nada está errado, exceto que você não prefere operar o Windows da maneira pretendida pelo desenvolvedor Microsoft.
No entanto, como seu desejo é manter essas modificações não suportadas no arquivo Hosts, apesar do fato de que elas claramente quebram muitas das funções do Windows para as quais esses sites foram projetados, é melhor reverter a parte de detecção de PUA de O Windows Defender deve ser desativado, como costumava ser nas versões anteriores do Windows.
isso foi Günter Born quem blogou sobre este assunto primeiro. Confira sua excelente postagem O Defender sinaliza o arquivo Hosts do Windows como malicioso e sua postagem subsequente sobre este tópico. Günter também foi o primeiro a escrever sobre a detecção de PUPs do Windows Defender / CCleaner.
Em seu blog, Günter observa que isso vem acontecendo desde 28 de julho de 2020. No entanto, a postagem do Microsoft Answers discutida acima foi criada em 23 de julho de 2020. Portanto, não sabemos qual versão do Windows Defender Engine / cliente introduziu o Win32 / HostsFileHijack detecção de bloco de telemetria exatamente.
As definições recentes do Windows Defender (emitidas da semana de 3 de julho em diante) consideram essas entradas ‘adulteradas’ no arquivo HOSTS como indesejáveis e avisa o usuário sobre “comportamento potencialmente indesejado” - com o nível de ameaça denotado como “grave”.
Qualquer entrada de arquivo HOSTS contendo um domínio da Microsoft (por exemplo, microsoft.com), como o abaixo, acionaria um alerta:
0.0.0.0 www.microsoft.com (ou) 127.0.0.1 www.microsoft.com
O Windows Defender forneceria três opções ao usuário:
- Retirar
- Quarentena
- Permitir no dispositivo.
Selecionando Retirar redefiniria o arquivo HOSTS para as configurações padrão do Windows, apagando completamente as entradas personalizadas, se houver.
Então, como faço para bloquear os servidores de telemetria da Microsoft?
Se a equipe do Windows Defender quiser continuar com a lógica de detecção acima, você terá três opções para bloquear a telemetria sem receber alertas do Windows Defender.
Opção 1: Adicionar arquivo HOSTS às exclusões do Windows Defender
Você pode dizer ao Windows Defender para ignorar o HOSTS arquivo adicionando-o às exclusões.
- Abra as configurações de Segurança do Windows Defender, clique em Proteção contra vírus e ameaças.
- Em Configurações de proteção contra vírus e ameaças, clique em Gerenciar configurações.
- Role para baixo e clique em Adicionar ou remover exclusões
- Clique em Adicionar uma exclusão e clique em Arquivo.
- Selecione o arquivo
C: Windows System32 drivers etc HOSTSe adicione.
Nota: Adicionar HOSTS à lista de exclusões significa que se um malware interferir em seu arquivo HOSTS no futuro, o Windows Defender ficará parado e não fará nada a respeito do arquivo HOSTS. As exclusões do Windows Defender devem ser usadas com cautela.
Opção 2: Desativar verificação PUA / PUP pelo Windows Defender
PUA / PUP (aplicativo / programa potencialmente indesejado) é um programa que contém adware, instala barras de ferramentas ou tem motivos obscuros. No versões anterior ao Windows 10 2004, o Windows Defender não verifica PUA ou PUPs por padrão. A detecção de PUA / PUP era um recurso opcional que precisava ser habilitado usando o PowerShell ou o Editor do Registro.
o Win32 / HostsFileHijack ameaça levantada pelo Windows Defender vem na categoria PUA / PUP. Isso significa que por desativando a verificação PUA / PUP opção, você pode ignorar a Win32 / HostsFileHijack aviso de arquivo, apesar de ter entradas de telemetria no arquivo HOSTS.
Nota: Uma desvantagem de desabilitar PUA / PUP é que o Windows Defender não faria nada sobre a configuração / instaladores agrupados com adware que você baixou inadvertidamente.
Dica: Você pode ter Malwarebytes Premium (que inclui verificação em tempo real) em execução com o Windows Defender. Dessa forma, o Malwarebytes pode cuidar do material PUA / PUP.
Opção 3: use um servidor DNS personalizado como Pi-hole ou firewall pfSense
Usuários experientes em tecnologia podem configurar um sistema de servidor DNS Pi-Hole e bloquear adware e domínios de telemetria da Microsoft. O bloqueio no nível de DNS geralmente requer hardware separado (como Raspberry Pi ou um computador de baixo custo) ou um serviço de terceiros como o filtro da família OpenDNS. A conta de filtro da família OpenDNS oferece uma opção gratuita para filtrar adware e bloquear domínios personalizados.
Como alternativa, um firewall de hardware como o pfSense (junto com o pacote pfBlockerNG) pode fazer isso facilmente. A filtragem de servidores no nível de DNS ou firewall é muito eficaz. Aqui estão alguns links que explicam como bloquear os servidores de telemetria usando o firewall pfSense:
Bloqueando o tráfego da Microsoft no PFSense | Sintaxe do Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Como bloquear no Windows10 Telemetria com pfsense | Fórum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Impedir que o Windows 10 rastreie você: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 A telemetria está ignorando a conexão VPN: VPN: Comente da discussão Comentário de Tzunamii na discussão 'A telemetria do Windows 10 está contornando a conexão VPN' . Pontos de extremidade de conexão para Windows 10 Enterprise, versão 2004 - Privacidade do Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota do editor: Nunca bloqueei a telemetria ou os servidores do Microsoft Update em meus sistemas. Se você está muito preocupado com a privacidade, pode usar uma das soluções alternativas acima para bloquear os servidores de telemetria sem receber os alertas do Windows Defender.
Um pequeno pedido: Se você gostou deste post, por favor, compartilhe?
Uma 'pequena' participação sua ajudaria seriamente no crescimento deste blog. Algumas ótimas sugestões:- Fixá-lo!
- Compartilhe com seu blog favorito + Facebook, Reddit
- Tweet isso!