Desde julio de la semana pasada, Windows Defender comenzó a emitir Win32 / HostsFileHijack Alertas de 'comportamiento potencialmente no deseado' si ha bloqueado los servidores de telemetría de Microsoft mediante el archivo HOSTS.
Fuera de SettingsModifier: Win32 / HostsFileHijack casos notificados en línea, el primero se informó en el Foros de Microsoft Answers donde el usuario declaró:
Recibo un mensaje serio 'potencialmente no deseado'. Tengo el Windows 10 2004 actual (1904.388) y solo Defender como protección permanente.
Cómo es eso de evaluar, ya que nada ha cambiado en mis anfitriones, lo sé. ¿O es un mensaje falso positivo? Una segunda verificación con AdwCleaner o Malwarebytes o SUPERAntiSpyware muestra que no hay infección.
Alerta 'HostsFileHijack' si la telemetría está bloqueada
Después de inspeccionar el HOSPEDADORES de ese sistema, se observó que el usuario había agregado servidores de telemetría de Microsoft al archivo HOSTS y lo había enrutado a 0.0.0.0 (conocido como 'enrutamiento nulo') para bloquear esas direcciones. Aquí está la lista de direcciones de telemetría enrutadas por ese usuario.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Y el experto Rob Koch respondió diciendo:
Dado que está enrutando Microsoft.com y otros sitios web de renombre en un agujero negro, Microsoft obviamente vería esto como una actividad potencialmente no deseada, por lo que, por supuesto, los detecta como actividad PUA (no necesariamente maliciosa, pero no deseada), relacionada con un Hosts. Secuestro de archivos.
Que haya decidido que es algo que desea hacer es básicamente irrelevante.
Como expliqué claramente en mi primera publicación, el cambio para realizar las detecciones de PUA se habilitó de forma predeterminada con el lanzamiento de Windows 10 Versión 2004, por lo que ese es el motivo principal de su problema repentino. No hay nada malo, excepto que no prefiere utilizar Windows de la manera que pretendía el desarrollador Microsoft.
Sin embargo, dado que su deseo es retener estas modificaciones no admitidas en el archivo Hosts, a pesar de que claramente romperán muchas de las funciones de Windows que esos sitios están diseñados para admitir, probablemente sea mejor revertir la parte de detección de PUA de Windows Defender esté deshabilitado como solía estar en versiones anteriores de Windows.
Era Nacido Günter quién escribió en su blog sobre este tema primero. Mira su excelente publicación Defender marca el archivo de Windows Hosts como malicioso y su posterior publicación sobre este tema. Günter también fue el primero en escribir sobre la detección de PUP de Windows Defender / CCleaner.
En su blog, Günter señala que esto ha estado sucediendo desde el 28 de julio de 2020. Sin embargo, la publicación de Microsoft Answers discutida anteriormente se creó el 23 de julio de 2020. Por lo tanto, no sabemos qué versión de cliente / motor de Windows Defender introdujo el Win32 / HostsFileHijack detección de bloque de telemetría exactamente.
Las definiciones recientes de Windows Defender (publicadas a partir del 3 de julio en adelante) consideran esas entradas 'manipuladas' en el archivo HOSTS como indeseables y advierten al usuario de un 'comportamiento potencialmente no deseado', con el nivel de amenaza denotado como 'grave'.
Cualquier entrada de archivo HOSTS que contenga un dominio de Microsoft (por ejemplo, microsoft.com) como el que se muestra a continuación, activaría una alerta:
0.0.0.0 www.microsoft.com (o) 127.0.0.1 www.microsoft.com
Windows Defender proporcionaría tres opciones al usuario:
- Eliminar
- Cuarentena
- Permitir en el dispositivo.
Seleccionar Eliminar restablecería el archivo HOSTS a la configuración predeterminada de Windows, borrando así por completo sus entradas personalizadas, si las hubiera.
Entonces, ¿cómo bloqueo los servidores de telemetría de Microsoft?
Si el equipo de Windows Defender desea continuar con la lógica de detección anterior, tiene tres opciones para bloquear la telemetría sin recibir alertas de Windows Defender.
Opción 1: agregar el archivo HOSTS a las exclusiones de Windows Defender
Puede decirle a Windows Defender que ignore la HOSPEDADORES archivo agregándolo a las exclusiones.
- Abra la configuración de seguridad de Windows Defender, haga clic en Protección contra virus y amenazas.
- En Configuración de protección contra virus y amenazas, haga clic en Administrar configuración.
- Desplácese hacia abajo y haga clic en Agregar o eliminar exclusiones
- Haga clic en Agregar una exclusión y haga clic en Archivo.
- Seleccione el archivo
C: Windows System32 drivers etc HOSTSy agregarlo.
Nota: Agregar HOSTS a la lista de exclusiones significa que si un malware manipula su archivo HOSTS en el futuro, Windows Defender se quedará quieto y no hará nada con respecto al archivo HOSTS. Las exclusiones de Windows Defender deben usarse con precaución.
Opción 2: Desactive el análisis de PUA / PUP de Windows Defender
PUA / PUP (aplicación / programa potencialmente no deseado) es un programa que contiene adware, instala barras de herramientas o tiene motivos poco claros. En el versiones antes de Windows 10 2004, Windows Defender no analizaba PUA o PUP de forma predeterminada. La detección de PUA / PUP era una función opcional que debía habilitarse mediante PowerShell o el Editor del registro.
los Win32 / HostsFileHijack La amenaza planteada por Windows Defender se incluye en la categoría PUA / PUP. Eso significa, por deshabilitar el escaneo PUA / PUP opción, puede omitir la Win32 / HostsFileHijack advertencia de archivo a pesar de tener entradas de telemetría en el archivo HOSTS.
Nota: Una desventaja de deshabilitar PUA / PUP es que Windows Defender no haría nada con la configuración / los instaladores incluidos en el paquete publicitario que descarga inadvertidamente.
Propina: Tu puedes tener Malwarebytes Premium (que incluye escaneo en tiempo real) que se ejecuta junto con Windows Defender. De esa manera, Malwarebytes puede encargarse de las cosas PUA / PUP.
Opción 3: use un servidor DNS personalizado como Pi-hole o firewall pfSense
Los usuarios expertos en tecnología pueden configurar un sistema de servidor DNS Pi-Hole y bloquear el software publicitario y los dominios de telemetría de Microsoft. El bloqueo a nivel de DNS generalmente requiere hardware separado (como Raspberry Pi o una computadora de bajo costo) o un servicio de terceros como el filtro de la familia OpenDNS. La cuenta de filtro de la familia OpenDNS ofrece una opción gratuita para filtrar adware y bloquear dominios personalizados.
Alternativamente, un firewall de hardware como pfSense (junto con el paquete pfBlockerNG) puede lograr esto fácilmente. El filtrado de servidores a nivel de DNS o firewall es muy efectivo. Aquí hay algunos enlaces que le dicen cómo bloquear los servidores de telemetría usando el firewall pfSense:
Bloqueo del tráfico de Microsoft en PFSense | Sintaxis de Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cómo bloquear telemetría en Windows10 con pfsense | Foro de Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Bloquea Windows 10 para que no te rastree: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry está evitando la conexión VPN: VPN: Comentario de la discusión Comentario de Tzunamii de la discusión 'La telemetría de Windows 10 está evitando la conexión VPN' . Puntos finales de conexión para Windows 10 Enterprise, versión 2004 - Privacidad de Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota del editor: Nunca bloqueé los servidores de telemetría o Microsoft Update en mis sistemas. Si le preocupa mucho la privacidad, puede utilizar una de las soluciones anteriores para bloquear los servidores de telemetría sin recibir las alertas de Windows Defender.
Una pequeña solicitud: si le gustó esta publicación, por favor comparta esto.
Una 'pequeña' parte de usted ayudaría mucho con el crecimiento de este blog. Algunas buenas sugerencias:- Pin it!
- Compártelo en tu blog favorito + Facebook, Reddit
- ¡Tuitealo!