Microsoft Defender помечает файлы, на которых перенаправляется сервер Microsoft, как вредоносные

Собственный антивирусный клиент операционной системы Windows 10, Microsoft Defender, начал отмечать файл hosts в системе как вредоносный, если он содержит перенаправления для определенных серверов Microsoft.

Файл hosts представляет собой простой текстовый файл, предназначенный для перенаправления соединений. Пользователи находят его в C: \ Windows \ System32 \ drivers \ etc \ hosts в любой системе, и перенаправлять запросы достаточно просто. Он веками использовался для блокировки известных вредоносных сайтов или рекламных сайтов.

Все, что вам нужно сделать, это добавить перенаправления в виде 127.0.0.1 www.microsoft.com в файл hosts для перенаправления запросов на сайт «www.microsoft.com» в данном случае на локальный компьютер. Эффект прост: запрос заблокирован.

С выпуском Windows 10 возросло использование блокировки сервера телеметрии. Инструменты конфиденциальности добавит известные серверы телеметрии в файл hosts, чтобы заблокировать соединения и, таким образом, передачу данных телеметрии в Microsoft.

По состоянию на 28 июля 2020 г., похоже, Защитник Microsoft отмечает файлы хостов как вредоносные, если они содержат определенные перенаправления. По словам Гюнтера Борна, следующие версии представили новое поведение:

  • Версия клиента для защиты от вредоносных программ: 4.18.2006.10
  • Версия модуля: 1.1.17300.4
  • Антивирен-Версия: 1.321.144.0
  • Версия антишпионского ПО: 1.321.144.0

Антивирус Microsoft Defender помечает определенные изменения файлов hosts как угрозу. Попытка добавить перенаправления telemetry.microsoft.com и microsoft.com на 127.0.0.1 в файл hosts привела к тому, что Защитник Microsoft пометил файл и восстановил исходную версию.

Хост-файл Microsoft Defender

При попытке сохранить файл Защитник Microsoft может отобразить следующее уведомление:

Операция не завершилась успешно, поскольку файл содержит вирус или потенциально нежелательное программное обеспечение.

Восстановление файла не привело к восстановлению листинга. Лоуренс Абрахамс из Bleeping Computer провел несколько тестов и обнаружил следующие серверы, которые Microsoft Defender помечает при добавлении в файл hosts на устройствах с Windows 10.

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

Возможно, что другие серверы также будут рассматриваться Защитником Microsoft как угроза. Пользователи Windows 10 могут разрешить угрозе в Защитнике Microsoft, по крайней мере на данный момент, снова добавить эти перенаправления в файл. Проблема с этим подходом заключается в том, что он допускает любые модификации, даже внесенные вредоносным ПО. Другой вариант — отключить Microsoft Defender и начать использовать другое решение безопасности для Windows.

Ложное срабатывание кажется маловероятным, учитывая, что в список серверов входят в основном серверы телеметрии.

Это может отрицательно повлиять на инструменты Windows 10, которые добавляют записи в файл hosts. Большинство инструментов конфиденциальности, которые манипулируют файлом hosts для блокировки телеметрии, определенно не смогут добавить записи в файл hosts, если Microsoft Defender является резидентным антивирусным решением.

Теперь ваша очередь : вы используете Microsoft Defender или другое решение безопасности в Windows?