L'alerte «HostsFileHijack» de Windows Defender apparaît si la télémétrie est bloquée - Winhelponline

Depuis juillet la semaine dernière, Windows Defender a commencé à émettre Win32 / HostsFileHijack Alertes de 'comportement potentiellement indésirable' si vous avez bloqué les serveurs de télémétrie de Microsoft à l'aide du fichier HOSTS.

Hors de SettingsModifier: Win32 / HostsFileHijack cas signalés en ligne, le plus ancien a été signalé à la Forums Microsoft Answers où l'utilisateur a déclaré:

Je reçois un message sérieux 'potentiellement indésirable'. J'ai l'actuel Windows 10 2004 (1904.388) et seulement Defender comme protection permanente.
Comment est-ce à évaluer, puisque rien n'a changé chez mes hôtes, je le sais. Ou est-ce un faux message positif? Une deuxième vérification avec AdwCleaner ou Malwarebytes ou SUPERAntiSpyware ne montre aucune infection.

Alerte 'HostsFileHijack' si la télémétrie est bloquée

Après avoir inspecté le HÔTES de ce système, il a été observé que l'utilisateur avait ajouté des serveurs de télémétrie Microsoft au fichier HOSTS et l'avait acheminé vers 0.0.0.0 (connu sous le nom de «routage nul») pour bloquer ces adresses. Voici la liste des adresses de télémétrie nulles acheminées par cet utilisateur.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderne. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Et l'expert Rob Koch a répondu en disant:

Puisque vous êtes nul en train de router Microsoft.com et d'autres sites Web réputés dans un trou noir, Microsoft verrait évidemment cela comme une activité potentiellement indésirable, donc bien sûr, ils les détectent comme une activité PUA (pas nécessairement malveillante, mais indésirable), liée à un hôte Piratage de fichier.

Le fait que vous ayez décidé que c’était quelque chose que vous souhaitiez faire n’est fondamentalement pas pertinent.

Comme je l'ai clairement expliqué dans mon premier article, le changement pour effectuer les détections PUA a été activé par défaut avec la sortie de Windows 10 version 2004, c'est donc toute la raison de votre problème soudain. Il n'y a rien de mal sauf que vous ne préférez pas utiliser Windows de la manière prévue par le développeur Microsoft.

Cependant, puisque votre souhait est de conserver ces modifications non prises en charge dans le fichier Hosts, malgré le fait qu'elles casseront clairement de nombreuses fonctions Windows que ces sites sont conçus pour prendre en charge, vous feriez probablement mieux de revenir sur la partie de détection PUA de Windows Defender est désactivé comme il l'était dans les versions précédentes de Windows.

C'était Günter Born qui a blogué sur ce problème en premier. Découvrez son excellent post Defender marque le fichier Windows Hosts comme malveillant et son article ultérieur sur ce sujet. Günter a également été le premier à écrire sur la détection de Windows Defender / CCleaner PUP.

Dans son blog, Günter note que cela se produit depuis le 28 juillet 2020. Cependant, le message Microsoft Answers discuté ci-dessus a été créé le 23 juillet 2020. Par conséquent, nous ne savons pas quelle version de Windows Defender Engine / client a introduit le Win32 / HostsFileHijack détection de bloc de télémétrie exactement.

Les définitions récentes de Windows Defender (publiées à partir de la semaine du 3 juillet) considèrent ces entrées «falsifiées» dans le fichier HOSTS comme indésirables et avertissent l’utilisateur de «comportement potentiellement indésirable» - le niveau de menace étant qualifié de «grave».

Toute entrée de fichier HOSTS contenant un domaine Microsoft (par exemple, microsoft.com) tel que celui ci-dessous, déclencherait une alerte:

0.0.0.0 www.microsoft.com (ou) 127.0.0.1 www.microsoft.com

Windows Defender fournirait alors trois options à l'utilisateur:

• Retirer
• Quarantaine
• Autoriser sur l'appareil.

Sélection Retirer réinitialiserait le fichier HOSTS aux paramètres par défaut de Windows, effaçant ainsi complètement vos entrées personnalisées, le cas échéant.

Alors, comment puis-je bloquer les serveurs de télémétrie de Microsoft?

Si l'équipe Windows Defender souhaite continuer avec la logique de détection ci-dessus, vous avez trois options pour bloquer la télémétrie sans recevoir d'alertes de Windows Defender.

Option 1: Ajouter le fichier HOSTS aux exclusions de Windows Defender

Vous pouvez dire à Windows Defender d'ignorer le HÔTES fichier en l'ajoutant aux exclusions.

1. Ouvrez les paramètres de sécurité de Windows Defender, cliquez sur Protection contre les virus et les menaces.
2. Sous Paramètres de protection contre les virus et les menaces, cliquez sur Gérer les paramètres.
3. Faites défiler vers le bas et cliquez sur Ajouter ou supprimer des exclusions
4. Cliquez sur Ajouter une exclusion, puis sur Fichier.
5. Sélectionnez le fichier C: Windows System32 drivers etc HOSTS et ajoutez-le.
   

Remarque: L'ajout de HOSTS à la liste d'exclusions signifie que si un logiciel malveillant altère votre fichier HOSTS à l'avenir, Windows Defender restera immobile et ne fera rien au sujet du fichier HOSTS. Les exclusions de Windows Defender doivent être utilisées avec prudence.

Option 2: désactiver l'analyse PUA / PUP par Windows Defender

PUA / PUP (application / programme potentiellement indésirable) est un programme qui contient des logiciels publicitaires, installe des barres d'outils ou dont les motivations ne sont pas claires. dans le les versions avant Windows 10 2004, Windows Defender n’analysait pas les PUA ou les PPI par défaut. La détection PUA / PUP était une fonctionnalité opt-in qui devait être activé à l'aide de PowerShell ou de l'éditeur de registre.

le Win32 / HostsFileHijack menace soulevée par Windows Defender relève de la catégorie PUA / PUP. Cela signifie, par désactivation de l'analyse PUA / PUP option, vous pouvez contourner le Win32 / HostsFileHijack avertissement de fichier malgré la présence d'entrées de télémétrie dans le fichier HOSTS.

Remarque: Un inconvénient de la désactivation de PUA / PUP est que Windows Defender ne ferait rien à propos des programmes d'installation / d'installation fournis avec des logiciels publicitaires que vous téléchargez par inadvertance.

Pointe: Vous pouvez avoir Malwarebytes Premium (qui inclut l'analyse en temps réel) fonctionnant avec Windows Defender. De cette façon, Malwarebytes peut s'occuper des trucs PUA / PUP.

Option 3: utilisez un serveur DNS personnalisé comme le pare-feu Pi-hole ou pfSense

Les utilisateurs avertis peuvent configurer un système de serveur DNS Pi-Hole et bloquer les domaines de logiciels publicitaires et de télémétrie Microsoft. Le blocage au niveau DNS nécessite généralement un matériel séparé (comme Raspberry Pi ou un ordinateur à faible coût) ou un service tiers comme le filtre de la famille OpenDNS. Le compte de filtrage de la famille OpenDNS offre une option gratuite pour filtrer les logiciels publicitaires et bloquer les domaines personnalisés.

Alternativement, un pare-feu matériel comme pfSense (avec le package pfBlockerNG) peut accomplir cela facilement. Le filtrage des serveurs au niveau DNS ou pare-feu est très efficace. Voici quelques liens qui vous indiquent comment bloquer les serveurs de télémétrie à l'aide du pare-feu pfSense:

Bloquer le trafic Microsoft dans PFSense | Syntaxe d'Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Comment bloquer dans Windows10 Télémétrie avec pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Empêcher Windows 10 de vous suivre: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry contourne la connexion VPN: VPN: Commentaire de la discussion Commentaire de Tzunamii issu de la discussion `` La télémétrie Windows 10 contourne la connexion VPN '' . Points de terminaison de connexion pour Windows 10 Entreprise, version 2004 - Confidentialité Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Note de l'éditeur: Je n’ai jamais bloqué la télémétrie ou les serveurs Microsoft Update dans mes systèmes. Si vous êtes très préoccupé par la confidentialité, vous pouvez utiliser l'une des solutions de contournement ci-dessus pour bloquer les serveurs de télémétrie sans recevoir les alertes Windows Defender.

Une petite demande: si vous avez aimé cet article, veuillez le partager?

• Épinglez-le!
• Partagez-le sur votre blog préféré + Facebook, Reddit
• Tweetez-le!