Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

Microsoft Defender детектирует HOSTS, блокирующий отправку телеметрии

С конца июля Microsoft детектирует файлы HOSTS, блокирующие связь Windows 10 с серверами телеметрии. Встроенная антивирусная программа Microsoft Defender классифицирует изменённые HOSTS-файлы как «SettingsModifier:Win32/HostsFileHijack».

Напомним, что соответствующие файлы располагаются в директории C:\Windows\system32\driver\etc\HOSTS. Чтобы изменить их содержимое, пользователь должен действовать с правами администратора.

Благодаря HOSTS можно резолвить имена хостов в IP-адреса в обход Domain Name System (DNS). Часто эти файлы используются для блокировки конкретных веб-сайтов («направляя» их на 127.0.0.1 или 0.0.0.0).

Microsoft Defender и раньше детектировал модифицированные файлы HOSTS, однако в последнее время появились многочисленные жалобы на срабатывание антивируса (1, 2, 3).

 

После этого на проблему обратили внимание специалисты компании BornCity. Поскольку HOSTS уже давно не используются в атаках, исследователи сделали вывод, что всё дело в ложном срабатывании.

Издание BleepingComputer провело своё тестирование, в ходе которого эксперты пробовали заблокировать разные сайты с помощью HOSTS. Как только дело дошло до блокировки серверов Microsoft, на которые отправляются данные телеметрии, встроенный антивирус тут же начал «ругаться».

 

В связи с этим исследователи не рекомендуют блокировать в HOSTS следующие адреса:

  • www.microsoft.com
  • microsoft.com
  • telemetry.microsoft.com
  • wns.notify.windows.com.akadns.net
  • v10-win.vortex.data.microsoft.com.akadns.net
  • us.vortex-win.data.microsoft.com
  • us-v10.events.data.microsoft.com
  • urs.microsoft.com.nsatc.net
  • watson.telemetry.microsoft.com
  • watson.ppe.telemetry.microsoft.com
  • vsgallery.com
  • watson.live.com
  • watson.microsoft.com
  • telemetry.remoteapp.windowsazure.com
  • telemetry.urs.microsoft.com
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление Windows 11 снова доступно для игроков с Easy Anti-Cheat

У Microsoft наконец-то дошли руки до игроков, которых раздражал синий экран смерти при попытке обновиться до Windows 11 версии 24H2. Всё дело было в конфликте с Easy Anti-Cheat — популярной системой античита, которая используется во множестве онлайн-игр вроде Apex Legends, Rust, Fortnite и даже ELDEN RING.

Проблема всплыла в июне: при запуске некоторых игр Windows просто внезапно перезагружалась или выбрасывала BSOD с ошибками, связанными с ntoskrnl.exe или EasyAntiCheat_EOS.exe. Тогда Microsoft даже выпустила срочное обновление (KB5063060), чтобы хоть как-то приглушить панику среди геймеров.

И вот — хорошая новость: 24 июля компания официально сняла ограничение, не дававшее установить новое обновление Windows на устройства с Easy Anti-Cheat. Теперь, если у вас не стоит других блокировок, можно спокойно обновляться через Windows Update.

Хотя есть нюанс: некоторые компьютеры всё ещё могут показывать предупреждение о несовместимой версии Easy Anti-Cheat. Но, по словам Microsoft, если запустить и обновить одну из часто используемых игр, античит подтянет нужную версию сам.

Важно: BSOD больше не будет даже при наличии старой версии античита — если только вы не запускаете с ним игру.

Вообще, это не первая такая история. Ранее Microsoft уже блокировала обновления для некоторых моделей с Intel Alder Lake+ и vPro из-за сбоев в игре Asphalt 8 и тех же синих экранов. А ещё проблемы были у пользователей AutoCAD и Safe Exam Browser — но и эти блокировки уже сняты.

Если вы всё ещё сидите на старой версии Windows 11 из-за «проблем с играми» — самое время проверить обновления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru