Windows 10：主机文件阻塞遥测现在被标记为一种风险

8月3日上午消息：从7月底开始，微软已经开始检测阻止Windows 10遥测服务器的主机文件，认为这是一种“严重”的安全风险。

主机文件是位于C：\windows\system 32\Driver\etc\host的文本文件，只能由具有管理员权限的程序编辑。

此文件通常用于通过将主机分配给127.0.0.1或0.0.0.0IP地址来阻止计算机访问远程站点。

例如，如果将下面一行添加到Windows主机文件中，它将阻止用户访问www.google.com，因为您的浏览器会认为您试图连接到127.0.0.1，即本地计算机。

127.0.0.1 www.google.com

Microsoft现在检测阻止Windows遥测的主机文件

自7月底以来，Windows 10的用户开始报告说，Windows Defender已经开始检测到修改后的主机文件为“SettingsModifier：Win 32/HostsFileHijack”威胁。

当检测到时，如果用户单击“查看详细信息”选项，则只会显示它们受到“设置修饰符”威胁的影响，并具有“可能不需要的行为”，如下所示。

设置修改程序：Win 32/HostsFileHijack检测

计算机第一次了解到这个问题来自BornCity，而当microsoft Defender检测主机劫持时，并不是什么新鲜事看到这么多人突然报警真是奇怪1,2,3,4,5].

虽然过去许多消费者同时受到广泛感染并不是闻所未闻的，但在当今Windows 10内置的安全性方面，这是相当不寻常的。

这使我相信这是一个假阳性或其他一些非恶意的问题。

在处理了通用主机文件修改(如阻塞刻录计算机和其他站点)之后，我尝试添加一个微软遥测系统的Blocklist我的主机文件。

此列表添加了Windows操作系统和Microsoft软件用于将遥测和用户数据发送回Microsoft的许多Microsoft服务器。

一旦我保存了主机文件，我就收到以下警告：我无法保存该文件，因为它“包含病毒或可能不需要的软件”。我还收到警告说，我的计算机感染了“SettingsModifier：Win 32/HostsFileHijack”。

阻止保存的主机文件

因此，看来微软最近更新了他们的Microsoft Defender定义，以检测他们的服务器何时被添加到主机文件中。

利用主机文件阻止Windows 10遥测的用户突然发现主机文件被劫持。

在我们的测试中，Windows 10主机文件中检测到的一些Microsoft主机包括以下内容：

www.microsoft.com

microsoft.com

telemetry.microsoft.com

wns.notify.windows.com.akadns.net

v10-win.vortex.data.microsoft.com.akadns.net

us.vortex-win.data.microsoft.com

us-v10.events.data.microsoft.com

urs.microsoft.com.nsatc.net

watson.telemetry.microsoft.com

watson.ppe.telemetry.microsoft.com

vsgallery.com

watson.live.com

watson.microsoft.com

telemetry.remoteapp.windowsazure.com

telemetry.urs.microsoft.com

如果您决定清除此威胁，Microsoft将将主机文件还原回其默认内容。

默认Windows 10主机文件

有意修改主机文件的用户可以允许这种“威胁”，但它可能会允许所有主机修改，甚至恶意修改。

因此，只有当你100%理解这样做所涉及的风险时，才允许威胁。

对于这一新的检测方法，计算机已经向微软提出了一些问题。