Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10 +47






Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.

Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.

В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.



Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:



После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:

  • (www).microsoft.com;
  • microsoft.com;
  • telemetry.microsoft.com;
  • wns.notify.windows.com.akadns.net;
  • v10-win.vortex.data.microsoft.com.akadns.net;
  • us.vortex-win.data.microsoft.com;
  • us-v10.events.data.microsoft.com;
  • urs.microsoft.com.nsatc.net;
  • watson.telemetry.microsoft.com;
  • watson.ppe.telemetry.microsoft.com;
  • vsgallery.com;
  • watson.live.com;
  • watson.microsoft.com;
  • telemetry.remoteapp.windowsazure.com;
  • telemetry.urs.microsoft.com.

Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.




Комментарии (102):

  1. /#21925882 / +7

    Будем на роутере блокировать.

    • artemlight
      /#21925956 / +3

      Не очень понятно как именно.
      Да и блокировка телеметрии через вырезание зоны microsoft.com — это из пушки по воробьям. Слишком дохрена всего полезного отваливается.
      Все эти дестрой-виндвс-спаи — это ерунда. Нужен системный хук, который запрещает инициировать tcp-соединения определенным сервисам. Чтобы браузер мог ходить на микрософт.ком, а сервис телеметрии — нет.

      • BobbieZi
        /#21926016

        Не очень понятно как именно.

        google:// Pi-hole

        • bopoh13
          /#21926128

          Ещё в семёрке при блокировке ответа с некоторых адресов (могу даже неполный список поискать) отключалось сетевое подключение. Как обстоят дела в десятке?

          • Iv38
            /#21926218

            Не уверен, что мы говорим об одном и том же, но соединение не отключается, а помечается как "без доступа в интернет". А дальше некоторые программы действительно могут перестать работать, это зависит от того, как именно они получают доступ к сети.

          • 1dNDN
            /#21927076

            могу даже неполный список поискать

            Его даже изменять можно.

      • kma21
        /#21926026

        ну если на роутере, то может для телеметрии используются порты какие-то особенные. и можно лочить подключение к конкретному сайту по конкретному порту.

        если на компе непосредственно, то вероятно софтварные файерволлы могут запретить конкретным приложениям доступ в интернет (весело будет, если кто-то сделает это через стандартный Windows файерволл)

      • Massacre
        /#21926032

        Фаервол приложений (типа Comodo) так и работает, вот только кто знает, что там решат ещё сделать, пустить телеметрию и прочее в обход фаерволов через ядро?

        • artemlight
          /#21926050

          Я ставил комод — так вот он был слишком тяжелый, да и на серверные окна не вставал.
          Нужна крохотная безгуёвая тулза на С.
          Сейчас сдам проект и займусь, если время будет…

          • Massacre
            /#21926056

            Там просто надо было без антивируса ставить — и всё было бы гораздо легче. Удачи в написании :)

            Главное, реализовать ключевые фичи — отдельные разрешения на уровне приложений и мониторинг соединения этих приложений (список коннектов приложений в реальном времени).

            А без GUI это будет не очень… Ни предупреждения о соединении в реальном времени, ни мониторинга.

            • artemlight
              /#21926072

              Дефендер неплохо работает, кстати.
              Проактивка у него никакая, конечно, но от массового заражения бинарниками по почте оно спасает.

              • AH89
                /#21926236

                Оно конечно верно. Большинство заражений компьютеров пользователей происходит на уровне кликов файлов из почты, отправителями которых являются знакомые незнакомцы, либо кликов по ссылкам в браузере на малознакомых сайтах, что нередко приводит к срабатыванию зловредных джава-скриптов. Но и последнее легко предотвратить если начать пользоваться блокираторами джава-скриптов типа ScriptSafe, ScriptBlock, ну и конечно фильтрацией малварных DNS-доменов на уровене рутера или опять таки браузерных расширений типа Adguard.

                • dartraiden
                  /#21927680

                  срабатыванию зловредных джава-скриптов

                  JS-скрипты за пределы браузера не выберутся, современные браузеры давно имеют песочницы. Для пробития песочницы требуются эксплоиты. Если ПО своевременно обновляется, то шанс, что вас пробьют каким-нибудь 0-деем, плещутся в районе нуля (если атака не таргетированная, но это уже совсем отдельный разговор).

              • vladimir_yatselenko
                /#21926732

                Самая большая беда что он очень грузит периодами процессор и его никак не отключить.

                • BoreaAlex
                  /#21927814

                  Через политики очень даже отключается, правда, с каждым новым выпуском все замороченнее. Года два назад вовсе склепал .reg файлик, чтобы в два клика отключать навсегда, но с 1909 перестал работать.

          • RaphZak
            /#21926078

            А TinyWall не подойдет? Не совсем без гуя, но маленькая.

            • TitovVN1974
              /#21927988

              опыт использования TinyWall — хороший
              {Не программист, только вычислитель}

          • Irgen
            /#21927436

            Есть хоть и старый, ныне заброшенный, но тем не менее вполне рабочий Privatefirewall. Лёгкий, с гуем, немного неудобный в настройке, но тем не менее вполне хорош

          • manmaxun
            /#21927816

            Тогда сразу с постом на хабре, чтобы можно было себе прихватить тоже.

        • bvvbvv
          /#21928214

          У Comodo IS заметил проблему. Службы MS даже при наличии запрета соединений на определенный IP адрес умудряются вести с этим адресом обмен.

      • zzzzzzzzzzzz
        /#21926562

        Есть софтина Windows Firewall Control, как раз это делает. Можно блокировать все приложения, кроме белого списка. Только иногда забываешь про неё и долго разбираешься, почему же какая-то программа не может к серверу подсоединиться.

        Насчёт же файла hosts тоже проблема не особо велика — у меня дефендер его описанным образом испортил, но я добавил штатными средствами исключение, и всё ок. Единственно, он испортил молча (видимо, уведомление всплыло и уплыло), поэтому проблема тоже не сразу нашлась.

        • dartraiden
          /#21927684

          Весь смех в том, что Windows Firewall Control это просто GUI к штатному брандмауэру.

          • zzzzzzzzzzzz
            /#21932746

            А почему «смех»? Штатным брандмауэром вручную задолбаешься правила создавать, а с WFC это становится более-менее удобным и, как следствие, применимым в реальной жизни.

            А вот радоваться внесению в исключения дефендера я поторопился. Вчера он «забыл» об этом и опять «исправил» файл. Внёс ещё раз, посмотрим, что будет дальше.

    • AH89
      /#21926258

      На рутере обычно по IP блокируют, а блокировку по доменному имени не всякий рутер из стареньких моделек ещё и поддерживает. Домены ведь, как известно, иногда переезжают, меняя свой IP. Так что и список заблокированных IP в рутере придётся время от времени тогда обновлять тоже. С хост-файлом в Виндах в принципе ничего страшного, если просто дать в явном виде Разрешение на изменение. Зловредам через хост-файл едва ли интерес кого-то блокировать, даже если шутки ради это будет Майкрософт или Гугл.

      • ShadowTheAge
        /#21926336

        Зловреды через hosts отправляют на фишинговые страницы. Или на рекламо-помойку. С набором популярности https это стало сделать сложнее, но сказать что файл зловредам неинтересен нельзя

        • willyd
          /#21927392

          Если хватит привилегий заменить hosts, то и свой сертификат можно добавить.

      • DaemonGloom
        /#21926464

        Блокировку по доменному имени поддерживает даже антиквариат, если за разрешением имён по dns компьютер обращается именно к роутеру.
        Если же нет — то это уже гораздо сложнее, да. Впрочем, Микротик позволяет фильтровать по доменам (и сам обновляет их адреса).

        • AH89
          /#21926484

          Включите тогда на рутере какую-нибудь пре-фильтрацию через Яндекс.DNS, либо установите Adguard, в котором тоже можно активировать DNS фильтрацию вместе со списком малварных DNS. И будет счастье.

    • a1ex322
      /#21926346

      подскажите, что там такого ценного передается? Из беглого гугления сложилось впечатление, что только версии ПО, но это я бы и сам расшарил, так как это первое что требуется, когда заводишь баг в любом трекере

      • dartraiden
        /#21927686

        Всё, что передаётся, вы можете посмотреть в настройках системы.

        По моему опыту пользователи делятся на две категории:
        — которые туда даже не заглядывали
        — которые заглядывали, но не могут сказать, что именно из перечисленного там они бы не хотели отправлять

        Я неоднократно наблюдал в чатике @winsiders попытки выведать у противников телеметрии конкретику по этому вопросу. Все (!) сливались, отделываясь общими фразами.

        • lanseg
          /#21928106

          А не имеет значения, просто не хотят и всё — этого должно быть достаточно, чтобы дать возможность отключать сбор данных.
          К тому же, на системе это не отразится.

        • sumanai
          /#21928298

          Всё, что передаётся, вы можете посмотреть в настройках системы.

          Для хранения требуется около 1ГБ на жёстком диске

          Спасибо, не нужно.

  2. artemlight
    /#21925920 / +1

    Под десятку пора уже писать опенсорсный персональный файрвол с поддержкой бампинга ссл для системных служб (ключи всё равно есть в памяти), чтобы закрыть проблему раз и навсегда.
    Собрать бы под это дело на кикстартере хотя бы тысяч 20 — можно было бы какое-то значимое время этому уделить.

    • staticmain
      /#21925930 / +2

      И майкрософт тут же дружно засудит тех, кто это сделает, потому что «пользователь обязуется не нарушать работу системы, бла-бла-бла».

      • artemlight
        /#21925938

        так для этого даже кернелмод не нужен, давно windows filtering platform есть.

        • staticmain
          /#21925980

          Не нужен. Но отключение или блокировка телеметрии = вмешательство в работу системы, поскольку телеметрия часть системы.

          • BobbieZi
            /#21926030

            Это как автомобиль и видеорегистратор в нём с отправкой информации товарищу майору агенту правительства
            часть системы? формально — да.
            Но без неё автомобиль прекрасно обходится.

            • artemlight
              /#21926062 / +1

              Не нужно нести дичь.
              Вы вольны делать с вашим виндовсом что угодно, до тех пор, пока это не нарушает действующее законодательство. Реально можно словить штраф только за нарушение еулы в части лицензирования ПО, претензии по всем остальным вопросам можно смело игнорировать (да и не слышал я ни разу о таких историях.).

        • sumanai
          /#21928304

          Как будто ядро не может пустить трафик мимо всех фильтров, «для вашей же безопасности».

      • Jogger
        /#21926924

        Пользователь соглашается, что винда собирает телеметрию. Такое есть в соглашении. А то что пользователь обязуется обеспечивать возможность сбора телеметрии — этого нет. Поэтому пусть сами, как хотят, в рамках закона, обеспечивают возможность. Я им такой возможности не обязан предоставлять — и не буду.

  3. uhf
    /#21925982 / +1

    Скоро они юзера будут помечать, как зловредного

  4. arrakisfremen
    /#21926018 / -1

    "Вы либо крестик снимите, либо трусы наденьте".


    Либо не используйте проприетарную ОС, поставляемую по модели SaaS, либо не удивляйтесь, что попытка закрыть ей доступ к серверам хозяина, приводит к ругательствам с её стороны.

    • Massacre
      /#21926052

      Оно пока ещё не SaaS. Т.е. можно купить и использовать автономно. Сливаемая на сторону информация — это уже другой вопрос…

      • nikolayv81
        /#21930742

        Формально можно но работать если вы не примете соглашение — не будет. А после подписания соглашения вы в какой-то момент получаете рекламу (пока вредко и в виде рекомендаций и, вроде, отключается… это очень радует особенно в про версии) и по факту таки выходит saas.

    • SINOD
      /#21926240 / +1

      Стоп! Система бесплатная, как линупс или денег стоит? Если бесплатная — это один вопрос. Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению. И, да, плюя на копирастические законы. Ведь копирасты считают, что копирование — это воровство. Ну вот я честно купил, значит оно моё — могу делать, что хочу. А то бабки платишь, а оно не твоё, тебе попользоваться дали.

      • bazil
        /#21926324 / +1

        Ваше желание сделать "купленный товар" своей собственностью может расходится с тем, за что вы заплатили деньги Майкрософту и что Майкрософт сделал за ваши деньги. Возможно это не покупка товара, а покупка услуги.

        • SINOD
          /#21926752

          Я купил не хлеб в магазине, а услугу. Ведь копирасты именно на это упирают — уравнивание 0 и 1 с реальными материальными предметами. Называют копирование воровством. Ну тогда го до конца — винда — это продукт. Если честно купленный, то имеет все свойства материальной буханки хлеба, грубо говоря.

          • MacIn
            /#21927648

            Называют копирование воровством

            Здесь нет противоречия. Покупая винду, вы покупаете не товар, о право пользования на определенных условиях. Причем одним из условий является 1 платеж-1пользователь (условно, простите за каламбур). Так же как в кино — купив билет, вы покупаете право единоразового просмотра, а не фильм. И скопировать билет — получить услугу дважды за ту же цену. Представьте, что вы пришли в парикмахерскую, расплатились, а из-за некоего мошенничества с вашей стороны постригли вас и вашего приятеля — двоих, но за те же деньги.

            vinny496
            А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?


            Это стандартизированная ошибка Windows:

            //
            // MessageId: ERROR_VIRUS_INFECTED
            //
            // MessageText:
            //
            // Operation did not complete successfully because the file contains a virus or potentially unwanted software.
            //
            #define ERROR_VIRUS_INFECTED             225L
            

      • deepform
        /#21926492

        Еще скажите, что вы вольны распоряжаться купленными вами играми в том же steam.
        sarcasm

        • /#21926512

          del — вот почему редактировать можно, а удалить — нельзя?

        • Massacre
          /#21927272

          Зато вольны в GOG (скачал — и она твоя).

          • daggert
            /#21927468

            Конечно-же нет. Лицензия в ГОГе ничем не отличается от стима, прочитайте пользовательское соглашение. Никто вам не передает права на игру, вы точно так-же покупаете право на ее использование.

            • Massacre
              /#21928092

              Там есть разница. В случае стима у вас как бы подписка (с прекращением ваших отношений со стимом вы теряете всё «купленное»). А в ГОГ вы покупаете копию для личного использования (которая потом может работать вне зависимости от существования ГОГ).

              • daggert
                /#21928860

                Вы привязываетесь конкретно к носителю, в данном случае это не важно. Да, у вас есть DRM-free копия дистрибутива и безвременная лицензия, но нет, игра не стала принадлежать вам, вы не можете ее передавать и продавать. У вас есть право устанавливать ее у себя, возможно модифицировать и играть, но не более.

                • Kriminalist
                  /#21930166

                  А что вы называете игрой? Исходный код конечно не мой, но лицензия-то моя, ее я и могу продать или передать, в чем проблема?

                  • daggert
                    /#21930702

                    Покажите пожалуйста лицензию на приобретенную игру в ГОГе где вам даны права на ее перепродажу или передачу?
                    Пока я вижу только эти пункты, где я позволил себе выделить основное в нашей беседе:


                    2.1. Мы предоставляем вам и другим пользователям GOG личное право (юридически оно называется «лицензия») на использование услуг GOG.COM, на загрузку, доступ и/или на стриминг (в зависимости от ситуации) материалов GOG и других Услуг GOG. Эта лицензия предназначена исключительно для вашего личного пользования. Мы можем приостановить действие этой лицензии или отменить её в некоторых случаях, которые разъяснены ниже.

                    2.2. Когда вы покупаете, получаете доступ или устанавливаете игры GOG, вам иногда придется соглашаться с дополнительными условиями разработчиков или издателей игры (например, они могут попросить вас согласиться с лицензионным соглашением для конечного пользователя конкретной игры). Если между такими лицензионными соглашениями и нашим Соглашением наблюдаются противоречия, то важнее оказывается наше Соглашение.

                    3.3 Ваша учетная запись GOG и контент GOG предназначены только для вас и не могут быть разделены, проданы, подарены или переданы третьим лицам. Ваш доступ к ним и возможность их использования обусловлены правилами GOG, которые приведены здесь, по необходимости в правила вносятся дополнения и поправки.

                    • Kriminalist
                      /#21932158

                      Ну так ниже по ветке этот вопрос уже обсуждался, вопрос юрисдикции.
                      habr.com/ru/news/t/513934/#comment_21928980
                      Все эти ограничения передачи противоречат природным правам, и адекватный суд это признает.

                      • daggert
                        /#21932662

                        Это все домыслы на основе случаев связанных с софтом с ДРМ. В случае со стимом все просто, есть ДРМ и ключ активации, подтверждающий факт продажи, однако с DRM-free, где нет возможности удостоверится что игра была передана, а не скопирована — покажите мне прецеденты с ГОГом? Пока что EULA сайта GOG.com говорит об обратном, хотя они в ЕС.

      • /#21926516

        Ха! Уже давно нет.

      • DrPass
        /#21926528

        Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

        Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав? Если первое, то там вообще широчайший простор возможностей. Многие из нас могут и не покупать, и при этом делать «что хочу», и не испытывать ни малейших угрызений совести. Если с позиции ваших законных прав, то нет, не вольны распоряжаться, т.к. у вас там договорчик есть, EULA называется. Вот на что по договору вы согласились за свои деньги, вот только то и можете.

        • Fenzales
          /#21927514 / +1

          Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав?
          Пока эти штуки вообще находятся в полусерой зоне в плане законов. Несколько лет назад, например, суд ЕС признал право на владение экземпляром купленного софта; а верховный суд США принял обратное решение.
          EULA
          Есть мнение, что EULA зачастую не соответствуют законам стран, в которых впариваются, и единственная причина, что их не оспаривают — это тупо слишком дорого. В итоге единственным реальным вариантом остаётся коллективный иск, что достаточно сложно организовать.

          • Murmand
            /#21927982

            EULA — пишется исходя из законов страны в которой зарегистрирован разработчик, но это не самое главное, главнее лицензионный договор который регулирует права и обязанности поставщика/покупателя и вот в этом договоре как правило указывается то, что покупатель имеет право использовать софт но не имеет прав его изменять/перепродавать.
            Вообще благодаря юристам мы ничем не владеем, мы только получаем право использовать некий скомпилированный код и зачастую право использовать этот код стоит овер 9000 американских денег

      • Tangeman
        /#21926544

        Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

        В случае софта вы не покупаете товар, вы покупаете право его использования, на ограниченное (или нет) время. И точно также как в случае с арендой чего-либо (материального) — вы не вольны делать с ним что угодно, а только то о чём договорились с арендодателем.


        С другой стороны, будучи законным пользователем, вы не ограничены в своём праве делать с этим самым софтом всё что угодно, как минимум до тех пор ваши действия не наносят вред кому-то кроме вас самих (и не направлены на это), в том числе отключать телеметрию, при этом совершенно неважно что прописано в лицензионном соглашении на эту тему.

        • Murmand
          /#21928012

          Готов с вами поспорить, далеко не каждый производитель софта при продаже вам права его использовать дает вам право делать с этим софтом все, что угодно, вам ведь Майкрософт при покупке лицензии винды не дает ее исходники со словами: — на Tangeman, развлекайся!

          • Tangeman
            /#21928980

            Во-первых, если закон мне это позволяет — то EULA идёт лесом, что бы там не было написано, ибо закон имеет приоритет. Т.е. к примеру в Евросоюзе я могу делать реверс-инжиниринг софта для того чтобы он работал с тем что мне нужно или так как мне нужно (на моём устройстве) — и никакой EULA это мне не запретит, пусть там хоть смертная казнь за это предусмотрена. Да, я не могу публиковать результаты — но для себя — могу делать что угодно.


            Во-вторых, если (не)выполнение чего-то прописанного в EULA невозможно проверить или обнаружить, то EULA снова идёт лесом. К примеру, вы можете прописать там мою обязанность танцевать с бубном перед каждым запуском программы (формально имеете право), но вот как вы это проконтролируете? С телеметрией всё проще — представьте что я плачу за траффик, 1 доллар за 1 байт, поэтому режу всё что мне не нужно, и заставить меня платить за траффик генерируемой телеметрией вы не можете, а любой пункт типа "вы обязаны обеспечить постоянное подключение к сети и передачу данных телеметрии, а не то штраф" будет недействительным практически во всех адекватных странах.


            Так что с одной стороны да, покупка лицензии не даёт права делать что угодно, но с другой стороны не наделяет владельца прав на софт абсолютным правом (и способами) требовать выполнения от меня чего угодно — либо в силу противоречия законодательству, или в силу невозможности проконтролировать и заставить.

            • drWhy
              /#21929424

              Ещё в Германии разрешили перепродавать ПО несмотря на явный запрет в EULA.

  5. dartraiden
    /#21926066 / +1

    Вангую, что сбор телеметрии тут не главное. Оно реагирует на наличие доменов Microsoft в файле. Это излюбленный трюк всякой вирусни. Кто их туда поместил, вирусня или пользователь, и с какой целью, Microsoft знать не может.

    Проще говоря, там, очень вероятно, тупо вписано правило «если в hosts есть *.microsoft.com», то". Разумеется, это сработает и на и на telemetry.microsoft.com, и на habr.microsoft.com.

    Ну и, конечно, заблокировать доступ к microsoft.com это всё равно что в ногу себе выстрелить.

    • hellamps
      /#21926190

      Именно. Вероятно вирусня подставляет туда свои нужные адреса, чтобы зараженные апдейты ставить в дальнейшем, даже если этого вируса вычистят.


      Все-таки блокировка с помощью hosts это такой костыль

      • dartraiden
        /#21926808

        Обновления имеют цифровую подпись, так что это не вариант.

        • FreeNickname
          /#21927084

          Система уже заражена вирусом, а вирус может располагать 0-day уязвимостями, которые, теоретически, могут компрометировать проверку подписи, например. Ну это так, умозрительно.

        • hellamps
          /#21927742

          Кто мешал вирусу еще и сертификат подкинуть в root ca? Заодно чтоб и всякие пароли потырить...

          • sumanai
            /#21928310

            Это не работает, сертификаты для подписи системных файлов прошиты глубоко где-то в файлах.

    • v1000
      /#21927384

      Я еще понимаю, если реагирует на 127.0.0.1 — можно локально веб сервер поднять чтобы всякую ерунду подсовывать. Но 0.0.0.0 каким боком может помешать?
      А все от того, что кто-то очень заботится о своей телеметрии.
      И упорно не хочет дать возможность ее отключить.
      И пользователям приходится извращаться.

      • dartraiden
        /#21927664 / +1

        Оно реагирует на домен, не на IP. Причины я описал — вместо 0.0.0.0 там может быть адрес сервера, контролируемого злоумышленником. На IP Защитник не смотрит при проверке. Вы можете вписать туда хоть IP-адреса Microsoft, всё равно это будет расценено, как угроза.

        Лет 10 назад был мощный вой «Microsoft начала бороться с нелегальным активатором Windows 7», распространяемый пользователями, не владеющими матчастью. На самом же деле, Microsoft синхронно пропатчила уязвимости в ядре и окружении. И те рукожопы, у которых стояли чудовищные активаторы а-ля «копируем ядро в другой файл, патчим и прописываем это кастомное ядро в загрузчик» (мне даже писать такое больно, это даже не костыль, это втыкание себе кривого ржавого протеза вместо отпиленной ноги) резко обломались, потому что новое окружение со старым ядром бсодилось. Претензий к Microsoft не могло быть никаких, потому что официально такие выкрутасы не поддерживаются и никто, естественно, не тестирует обновления на совместимость с этим ужасом. Но вместо того, чтобы разбираться, гораздо проще оказалось распространять выдумки о том, что это было сделано именно ради борьбы с «пиратами».

        С телеметрией вышло аналогично. Такой способ её контроля не поддерживается, поэтому Защитник обнаруживает в hosts «microsoft.com» и бьёт тревогу, полагая, что это проделки вирусни. Если бы такой способ контроля телеметрии поддерживался официально, то добавили бы проверку на IP-адрес (если там 0.0.0.0 microsoft.com или 127.0.0.1 microsoft.com, то это, вероятно, дело рук пользователя, а если что-то иное, то злоумышленника).

        Пользователю никто не обещает, что используемые им недокументированные и неподдерживаемые практики будут работать всегда. Впрочем, у пользователя остаётся масса других способов выстрелить себе в ногу, например, заблокировать те же самые IP-адреса через брандмауэр, либо прописав маршруты вникуда, либо воспользовавшись файерволлом на маршрутизаторе, и т.д.

        • v1000
          /#21927824

          Пираты они такие — их хлебом не корми, дай ядрами пожонглировать. В этом плане я немного удивляюсь майкрософту-они иногда любители «позакручивать гайки», а иногда словно живут в стране розовых пони-умудряются выпустить патч для ХР, который проверяет пиратскую активацию, но легко блокируется штатной командой не устанавливать конкретный патч. А по поводу реакции антивируса на хост файл — как всегда забыли сделать one more thing и сделать проверку на адрес, куда их сайт перенаправляется. Или опять живут в стране розовых пони, и не знают (или знают, но игнорируют) что пользователи так блокируют ненавистную им телеметрию. А затем вдруг узнают, и винда начнет БСОДиться, если ее адреса будут блокирваться на роутере.

  6. bugdesigner
    /#21926402 / +1

    Попытка блокировать потенциально нежелательное поведение (слежку) — признана «потенциально нежелательным поведением». Иронично.

    • Firz
      /#21928620

      «Все в мире относительно». С позиции microsoft, слежка — желательное поведение, блокировка — нежелательное. С позиции юзера, слежка — нежелательное поведение, блокировка — желательное.

  7. sterr
    /#21926570

    Это произошло только при последнем обновлении. Ну и ничего страшного — «Разрешить» и все.
    Вангую, что в следующем обновлении файл host для телеметрии учитываться не будет.

  8. LeRR62
    /#21926748

    на 6 машинах стоит W7
    файл host… стоит пустой ибо всё там удалил.
    четыре года уже так.

    • arrakisfremen
      /#21927258 / +1

      И… к чему ты это? Он же по умолчанию пустой.

      • LeRR62
        /#21930690

        в статье он пустой? см выше.

        • arrakisfremen
          /#21931274

          На какой именно скриншот смотреть или куда? У меня он выглядит вот так (т.е. одни комментарии):

          # Copyright (c) 1993-2009 Microsoft Corp.
          #
          # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
          #
          # This file contains the mappings of IP addresses to host names. Each
          # entry should be kept on an individual line. The IP address should
          # be placed in the first column followed by the corresponding host name.
          # The IP address and the host name should be separated by at least one
          # space.
          #
          # Additionally, comments (such as these) may be inserted on individual
          # lines or following the machine name denoted by a '#' symbol.
          #
          # For example:
          #
          #      102.54.94.97     rhino.acme.com          # source server
          #       38.25.63.10     x.acme.com              # x client host
          
          # localhost name resolution is handled within DNS itself.
          #	127.0.0.1       localhost
          #	::1             localhost

  9. wmgeek
    /#21926914

    Спасибо за «официальный» перечень адресов для блокировки телеметрии от Майкрософт.

    • AH89
      /#21927242

      Некоторые программы типа Spybot Search and Destroy так вообще себе имя на рынке сделали только благодаря тому, что активно «иммунизировали» файл hosts, пихая в него всё что не попадя… И что теперь если Майкрософт изменила политику пользователи должны перестать пользоваться Spybot Search and Destroy?

    • dartraiden
      /#21927676

      Официальный перечень уже года три как официально публикуется.

      docs.microsoft.com/windows/privacy/manage-windows-2004-endpoints

      • drWhy
        /#21928248

        Компонент: «Кортана и живые плитки», Destination: «www.bing.com», Используемый протокол: «TLSv1.2»

        Компонент: «Автоматическое обновление корневых сертификатов», Destination: «ctldl.windowsupdate.com», Используемый протокол: «HTTP»

        Чудесно.

  10. vinny496
    /#21926960

    А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?

  11. arrakisfremen
    /#21927262 / -1

    Раз такая пьянка пошла, позволю себе у вас поинтересоваться. Утечки какой именно информации с вашей машины вы боитесь? Мне просто любопытно.

    • Dr_Faksov
      /#21927480

      Тут дело принципа. Либо кто-то смотрит мне через плечо, либо нет.

      • arrakisfremen
        /#21930536

        Если это дело принципа, то, как по мне, давно можно и нужно было перейти на свободные ос.
        Но ежели человек продолжает пользоваться виндой, то всё же любопытно, что конкретно он хочет уберечь от майкрософта.
        Мне в голову приходят только реквизиты банковских карт, которые с тем же успехом может у меня увести не майкрософт, но гугль, потому что я ввожу их в браузере и работаю с банковскими приложениями на андроиде. Но гугль этого делать не будет, потому что ему его репутация дороже, чем мои копейки.
        Так же, вряд ли какая-то из крупных корпораций захочет у меня украсть домашнюю эротику или стим аккаунт. А если и украдут, то чёрт с ними.

    • tzlom
      /#21927576

      Может у меня оплата интернета по трафику, и я не хочу оплачивать причуды которые мне не нужны.

      • nsmcan
        /#21927708

        Объявите сетевое соединение тарифицируемым (metered) — телеметрия отправляться не будет. Правда, много чего другого полезного происходить автоматически тоже не будет.


        Есть много вариантов отключить телеметрию. Зачем корячить hosts?

    • v1000
      /#21927828

      а еще вроде бы винда по ощущениям быстрее работает без телеметрии, возможно потому, что на это шуршание в системе может реагировать сторонний антивирус и фаервол. да и вообще, это какой-то аналог денуво в системе, который пользователю пользы не несет, но ресурсы системы на себя оттягивает.

    • sumanai
      /#21928330

      Любой. Не хочу, чтобы кто-то знал, какими программами я пользуюсь. А то ещё объявят террористом за то, что у меня TOR стоит.

  12. Neusser
    /#21927946

    Не только системный файл, но и, похоже, любой другой hosts (или как минимум которые находятся в системных папках). Я на выходных прогнал дефендер в полном режиме, и он выдал такую же угрозу («SettingsModifier:Win32/HostsFileHijack») на hosts в папке ПрограмФайлс/Гит, положив его в карантин. Открыть файл, чтобы посмотреть что там такого, я не смог (видимо из-за карантина доступ был закрыт), разбираться в чем дело было неохота. Теперь понятно в чем причина.

  13. /#21928238 / +1

    Добавляем в конфиг dnsmasq'а на роутере


    address=/www.microsoft.com/127.127.127.127
    address=/microsoft.com/127.127.127.127
    address=/telemetry.microsoft.com/127.127.127.127
    address=/wns.notify.windows.com.akadns.net/127.127.127.127
    address=/v10-win.vortex.data.microsoft.com.akadns.net/127.127.127.127
    address=/us.vortex-win.data.microsoft.com/127.127.127.127
    address=/us-v10.events.data.microsoft.com/127.127.127.127
    address=/urs.microsoft.com.nsatc.net/127.127.127.127
    address=/watson.telemetry.microsoft.com/127.127.127.127
    address=/watson.ppe.telemetry.microsoft.com/127.127.127.127
    address=/vsgallery.com/127.127.127.127
    address=/watson.live.com/127.127.127.127
    address=/watson.microsoft.com/127.127.127.127
    address=/telemetry.remoteapp.windowsazure.com/127.127.127.127
    address=/telemetry.urs.microsoft.com/127.127.127.127

    рестартим dnsmasq и наслаждаемся жизнью
    При чем если дома больше одного виндового компа это и проще, чем на каждом менять hosts все равно.

  14. sumanai
    /#21928336

    Как хорошо, что я вырубил дефендер (и любой другой антивирус). На ядре NT резидентные антивирусы не нужны, не пользуюсь ими со времён XP.