微软标记使用HOSTs文件阻止Windows 10遥测为风险

从7月底开始，Microsoft已开始检测会阻止Windows 10遥测服务器的“严重”安全风险的HOSTS文件。

HOSTS文件是位于C：\ Windows \ system32 \ driver \ etc \ HOSTS的文本文件。可以通过管理权限进行编辑。在DNS的帮助下，此类文件用于解析IP地址的主机名。它们通过将主机分配给127.0.0.1或0.0.0.0 IP地址来阻止计算机访问远程站点。

到7月底，Windows 10用户已开始报告Windows Defender已开始将修改后的HOSTS文件检测为“ SettingsModifier：Win32 / HostsFileHijack”威胁。在检测中，当用户单击“查看详细信息”选项时，将向他们显示“设置修改器”威胁已感染其设备，从而导致潜在的不良行为。

BornCity首先检测到此问题。由于主机劫持问题不是新问题，所以奇怪的是，许多用户突然开始报告检测结果。由于过去一直没有听说过这种广泛感染客户的事件，因此在Windows 10上看到这种问题在今天是很不寻常的。这引发了一个问题，那就是假阳性案例还是其他一些非恶意问题。

在对各种通用的HOSTS文件进行修改时，专家们尝试在其HOSTS文件中添加Microsoft遥测的障碍。当他们保存此文件时，他们会收到一条警告，指出他们无法保存该文件，因为该文件“包含病毒或可能有害的软件”，并且计算机感染了“ SettingsModifier：Win32 / HostsFileHijack”。

因此，似乎Microsoft最近更新了Microsoft Defender的定义以检测何时将其服务器添加到HOSTS文件中。

利用HOSTS文件阻止Windows 10遥测的用户突然导致看到HOSTS文件劫持检测。如果您决定清除威胁，Microsoft将把HOSTS文件恢复到其默认内容。那些故意修改其HOSTS文件的用户可以允许该威胁，但可以启用所有HOST修改。当您意识到威胁涉及100％的风险时，应允许该威胁。