Як позбутися повідомлення MettingsModifierwin32/hostsfilehijack

Проблема Microsoft щодо безпеки її операційної системи зрозуміла: у найбільшій програмній компанії вони вирішили, що не варто довіряти захисту ПК до третій сторонніх компаній, що спеціалізуються на антивірусному програмному забезпеченні. На жаль, захисник Windows, який бере на себе ці обов'язки, впораючись із загрозами не надто добре. Так, з кожним оновленням стає краще, але в той же час така функція, як підозра, лише посилюється. І багатьом користувачам це зовсім не подобається.

Сьогодні ми поговоримо про помилку налаштувань.

Що це за загроза

У комп'ютерній термінології слово викрадення пов'язане з вірусним програмним забезпеченням, яке прагне скористатися контролем комп'ютера користувача з найбільш непристойними цілями. Наприклад, щоб показати рекламу або відстежувати дії власника ПК або навіть з метою крадіжки конфіденційної інформації, включаючи фінансові.

Тому, якщо користувач бачить на екрані свого монітора налаштування написів. І починає шукати інформацію про те, як позбутися цього шкідливого коду. І дуже швидко він переконаний, що, швидше за все, він сам є винуватцем появи такої помилки.

Виявляється, захисник Windows 10 реагує таким своєрідним способом відключення телеметрії Microsoft, зробленого блокуванням доступу до цілого пулу сайтів самостійно та деяких інших доменів. Такі повідомлення стали частішими з кінця липня 2020 року, коли відповідні зміни були реалізовані через наступне оновлення операційної системи.

Однак зміна вмісту хостів файлу Microsoft Defender, і до цього, і досить обґрунтовано класифікували дії як загрозу. Ці антивіруси, такі як антивірус Касперського (Троян, контролюють цей метод зараження файлу хостів.Win32.Qhost) або mcafee, в якому ця загроза називається Qhosts.APD.

Але якщо додавання нових рядків до файлу хостів раніше було предметом аналізу для наявності реальних загроз, тепер захисник "прокляття" для дій користувача, спрямованих на блокування доступу з операційної системи до серверів, відповідальних за забезпечення функції телеметрії.

Що це за файл і які його функції?

Він присутній у більшості операційних систем, включаючи Microsoft, починаючи з версії XP. Місце його розташування не змінюється, це каталог C: \ Windows \ system32 \ драйвери \ тощо \ \. Сам файл стосується системи, тобто для її редагування, вам потрібно мати права адміністратора. Це звичайний текстовий файл, в який включені адреси сайтів у символічній формі, і він здійснюється відповідно до цифрової IP -адреси. Значення таких дій стає зрозумілим, якщо ви знаєте, що хости обробляються спочатку, і лише тоді операційна система перенаправляє запит за допомогою системи доменних імен, тобто DNS. Найбільш очевидним способом використання файлу є блокування доступу до певних сайтів, які можна досягти, якщо вони поставить їх у чергу з локальним типом IP -адреси 127.0.0.1 або неіснуючий 0.0.0.0.

Але віруси також використовують цю функцію, приносячи лінії до хостів, що дозволяє нам перенаправити користувача на невірний сайт, який він набрав у адресному рядку, тобто зробити хитрість перенаправлення.

Тож відстеження вмісту цього файлу - це дійсно необхідна робота. Але в нашому випадку Windows вважається загрозою спробою блокувати доступ до серверів, що належать до Microsoft, та відстеження телеметрії на рівні редагування файлу хостів.

Проблема була не одразу знайдена, але незабаром стало зрозуміло, що налаштування попередження: Win32/hostsfilehijack з’явиться, якщо користувач заборонив доступ до будь -якого з достатньо великих переліків доменів та субдоменів програмного гіганта:

Хоча повідомлення стверджує, що рівень загрози як критичного, це, звичайно, не відповідає дійсності, оскільки такі дії вживаються користувачами за власною ініціативою для єдиної мети: не дозволяти їх діяльності, навіть якщо це робиться з найбільшою розсудливі наміри. Що більшість, звичайно, сумнівається.

Що робити, якщо з’явиться повідомлення

Коли з’являється повідомлення про загрозу, в той же час вас запросять вибрати один із трьох можливих сценаріїв (це стандартна відповідь захиснику Windows на подібні ситуації):

• видалити.
• Місце в карантині.
• Дозволити на пристрій.

Якщо ви виберете перший варіант, то якщо вірус буде виявлений, захисник спробує його зняти. У нашому випадку він просто відновить файл хостів до стану, який він мав відразу після встановлення Windows, тобто всі записи, які ви додали, будуть стерті. Включаючи ті, що заблокували телеметрію.

Вибираючи "місце в карантині", заражений файл переходить у спеціальне місце, де він не зможе проявляти діяльність. Але оскільки у нас є файл, який потребує операційна система, вона знову буде відновлена ​​до стану за замовчуванням.

Вибираючи "Дозволити користуватися", ви просите захисника залишити все таким, яким воно є. Тобто нічого не робіть із файлом хостів, якими ви правили відповідно до своїх переконань.

Якщо ви вибрали третій варіант, будьте готові до того, що це повідомлення з’явиться знову. Як видалити помилку? Лише скасування блокування сайтів Microsoft. Хоча є альтернативне рішення: як правило, відмовляйся. Навіть якщо у вас є гарне антивірусне програмне забезпечення, яке вам вірно служило протягом багатьох років.