Settingsmodifier win32 possiblehostsfilehijack что это
Перейти к содержимому

Settingsmodifier win32 possiblehostsfilehijack что это

  • автор:

Антивирус Windows 10 считает «критической угрозой» блокировку телеметрии Microsoft через файл HOSTS

Файл расположен по пути C:\Windows\System32\drivers\etc\hosts и может редактироваться только администратором устройства.

Данный файл используется для сопоставления имен хостов с IP-адресами без использования системы доменных имен (DNS).

Обычно файл используется для блокировки нежелательных сайтов, за счет указания редиректа на IP-адреса 127.0.0.1 или 0.0.0.0.

Например, если вы добавите следующую строку в файл HOSTS, то пользователи Windows не смогут получить доступ к www.google.com, Браузер посчитает, что пытаетесь подключиться к 127.0.0.1, т.е. к адресу локального компьютера.

Microsoft стала помечать файлы HOSTS, которые блокируют телеметрию Windows

С конца июля пользователи Windows 10 стали сообщать, что встроенная антивирусная программа «Защитник Windows» стала распознавать измененные файлы HOSTS как угрозу SettingsModifier:Win32/HostsFileHijack.

SettingsModifier:Win32/HostsFileHijack

Если пользователь выбирает опцию «Подробнее», то антивирус сообщит, что устройство затронуто критической угрозой “SettingsModifier:Win32/HostsFileHijack” из категории Изменение параметров, которая является потенциально опасной.

Впервые о проблеме стало известно из блога BornCity. Хотя обнаружение взломов HOSTS не является чем-то неординарным, количество затронутых пользователей действительно поражало.

Массовые заражения нередко встречались раньше, но с текущим уровнем безопасности WIndows 10 все это было странно. Казалось, что это ложное срабатывание или безвредная проблема.

После тестирования оказалось, что срабатывание возникало после внесения в файл HOSTS правил для блокировки серверов телеметрии Windows 10. Даже при попытке сохранить изменения в файле отображалось предупреждение «Содержит вирус или потенциально нежелательное ПО». Также появлялись уведомления, что компьютер заражен SettingsModifier:Win32/HostsFileHijack.

SettingsModifier:Win32/HostsFileHijack

По всей видимости, Microsoft недавно обновила сигнатурные определения Защитника Windows и настроила распознавание правил блокировки серверов телеметрии в файле HOSTS.

Таким образом, пользователи, которые блокируют телеметрию через HOSTS, получили предупреждение о заражении файла.

При тестировании были установлены домены, на которые реагирует Защитник Windows в файле HOSTS:

Если вы решите удалить угрозу, то Windows восстановит стандартный файл HOSTS.

Антивирус Windows 10

Конечно, пользователи, которые таким способом блокируют телеметрию в Windows 10, могут проигнорировать угрозу, но в этом случае они рискуют пропустить реальный взлом HOSTS.

Разрешайте угрозу только, если вы хорошо понимаете потенциальные риски.

Microsoft пока никак не прокомментировала данные изменения в обнаружении.

Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10

Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.

Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.

В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.

Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:

После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:

Обнаружены угрозы SettingsModifier:Win32/HostsFileHijack в Windows 10 — почему и что делать

Что делать при обнаружении SettingsModifier:Win32/HostsFileHijack в Windows 10

Пользователи Windows 10 с последними обновлениями могут столкнуться с уведомлением защиты от вирусов и угроз о том, что обнаружены угрозы. В подробностях, в разделе «Текущие угрозы», будет указано что присутствует критическая угроза SettingsModifier:Win32/HostsFileHijack с предложением удалить её.

В этой короткой статье о том почему так происходит, насколько критической является такая угроза и что можно сделать в такой ситуации.

Что означает SettingsModifier:Win32/HostsFileHijack

Сообщение об угрозе SettingsModifier:Win32/HostsFileHijack в Центре безопасности

Само сообщение об угрозе SettingsModifier:Win32/HostsFileHijack в центре безопасности Windows 10 говорит о том, что были обнаружены какие-то изменения файла hosts (C:\Windows\System32\drivers\etc\hosts), которые могут представлять опасность для системы. Если вы не знаете, что это за файл, об этом можно прочитать в статье Файл hosts Windows 10.

Причина, по которой в последнее время многие стали получать уведомление об этой угрозе в том, что с недавних по Windows 10 начала считать угрозой заблокированные в файле hosts серверы Майкрософт, а они заблокированы у очень многих пользователей, которые:

  • Отключали функции телеметрии (слежку) Windows 10 с помощью каких-либо программ
  • Использовали сторонние программы для отключения обновлений Windows 10.

Такие программы используют различные механизмы блокировки и один из них — перенаправление обращений Windows 10 к серверам Майкрософт. Теперь это считается угрозой. Дополнительно стоит учесть, что установка некоторых нелицензионных программ также ведет к появлению записей в файле hosts.

В действительности описанные изменения hosts как правило не представляют реальной угрозы, однако следует учитывать, что в этом же файле могут быть действительно вредоносные изменения, один из распространенных сегодня вариантов — после установки вредоносных программ на компьютере перестают открываться сайты антивирусов.

Что делать при появлении сообщения об этой угрозе

В случае, если вы уверены в том, что изменения hosts не являются вредоносными и не представляют собой угрозы, вы можете перейти в информацию об угрозе SettingsModifier:Win32/HostsFileHijack от защитника Windows 10 и выбрать пункт «Разрешить на устройстве», чтобы в дальнейшем система не пыталась исправить ситуацию.

Разрешить изменение hosts на устройстве

Сделать это желательно сразу после появления сообщения, так как через короткое время файл hosts возвращается в исходное состояние и без вмешательства пользователя.

В случае, если уверенности нет, вы можете открыть файл hosts любым текстовым редактором и проверить его содержимое: что именно и куда он перенаправляет, сделать выводы и, при необходимости, вручную изменить файл hosts. Обратите внимание, что файл может быть заблокирован для открытия при обнаружении угрозы, пока вы не нажмете «Разрешить на устройстве» в Центре безопасности.

Существует возможность и полностью отключить Защитник Windows 10, но это не то действие, которое я рекомендовал бы большинству пользователей.

А вдруг и это будет интересно:

24.11.2021 в 03:28

Здравствуйте, Дмитрий! По статье вопрос: я запустил быструю проверку и защитник выдал обнаруженную угрозу SettingsModifier…, а вот информация о ней почему-то не открывается (последнее окно в статье) ,можно лишь запустить варианты сканирования, что я и сделал, и по окончании получил уведомление: «Защитник просканировал устр-во и принял меры в отношении угроз».. Это нормально, не о чем больше беспокоиться? Но при всем этом значок Текущие угрозы по-прежнему с красной меткой, повторил проверку-картина прежняя. Раньше я видел окно с вариантами действий, теперь пробую в который раз (хочу выбрать рек-ый Вами Разрешить на устр-ве), и не получается. Исаак.

24.11.2021 в 11:36

Хм… должен быть выбор.. странно и что предположить не знаю, не видя глазами ситуацию.

SettingsModifier Win32 HostsFileHijack: что это за угроза и как ее удалить

После одного из очередных обновлений Windows 10 пользователь может столкнуться с ошибкой критического уровня, которая указывает на угрозу SettingsModifier: Win32 / HostsFileHijack. “Защитник Windows” автоматически при анализе файлов операционной системе способен обнаружить эту угрозу и сообщить о ней пользователю. Рассмотрим рекомендации, что делать при возникновении данной ошибки.

Угроза SettingsModifier: Win32 / HostsFileHijack — что это

Когда защитник Windows определяет наличие угрозы SettingsModifier: Win32 / HostsFileHijack — это значит, что в файле hosts были обнаружены некоторые изменения, которые направлены, по мнению антивируса, на дестабилизацию работы системы. Но не всегда эти изменения носят действительно критический характер, как указывает “Защитник Windows”.

С последними обновлениями антивирус начал подобным образом реагировать на наличие в файле hosts запретов на доступ к серверам Microsoft. Часто эти сервера блокируются в hosts, когда пользователь хочет запретить автоматическую загрузку на компьютер обновлений Windows 10 или выполнялись работы по отключению телеметрии — ее многие пользователи операционной системы Microsoft называют “функцией слежения”.

Соответственно, когда в файле hosts система обнаруживает блокировку доступа к серверам Microsoft, она реагирует соответствующей ошибкой — SettingsModifier: Win32 / HostsFileHijack.

При возникновении ошибки на ней указан уровень угрозы “Критический”, хотя это далеко не так, если пользователь осознанно и самостоятельно настроил hosts таким образом.

Бывают исключения, когда одна (или несколько) вредоносная программа вносит изменения в hosts против желания пользователя. В таких случаях тоже возникает ошибка SettingsModifier: Win32 / HostsFileHijack.

Что делать при возникновении ошибки об угрозе

При обнаружении угрозы появляется сообщение, где указано “Запустите рекомендуемые действия”. Можно выбрать один из 3 вариантов:

  • Удалить. В таком случае автоматически файл hosts будет возвращен к стандартному состоянию. Соответственно, если в нем были прописаны необходимые вам блокировки, их система сотрут.
  • Поместить в карантин. Направить файл в список потенциально опасных, и опять же используемый hosts будет восстановлен до классических значений.
  • Разрешить на устройстве. Именно этот пункт нужно нажать, если вы хотите самостоятельно внести изменения в файл hosts, что можно сделать при помощи любого текстового редактора.

Если вы просто проигнорируете это сообщение, защитник Windows воспримет данный шаг как команду “Удалить”.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *