Ordinateurs

Le blocage de la télémétrie MS dans le fichier HOSTS déclenche maintenant l’avertissement de virus Windows Defender

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Une modification récente du scanner antivirus intégré de Microsoft Windows, Windows Defender, a laissé le système d’exploitation lancer de faux positifs liés au fichier HOSTS. Le fichier hosts peut être utilisé pour traduire des noms d’URL tels que « www.google.com » en une adresse IP spécifique. faire sur une base par nœud.

Le fichier hosts peut être utilisé pour bloquer les sites de logiciels malveillants et de logiciels espions, mais il le fait globalement et ne tente pas d’évaluer de manière significative si une adresse Web diffuse réellement des logiciels malveillants ou du contenu indésirable. C’est un filtre go / no go, et les sites Web du côté «no go» des choses ne sont pas consultés.

J’ai déjà utilisé le blocage des fichiers hôtes dans le cadre de mes propres protections AV et je peux confirmer que même si vous pouvez télécharger n’importe quel nombre de fichiers hôtes modifiés à partir d’Internet, vous devez généralement le personnaliser davantage pour éviter de bloquer le contenu que vous voulez voir . Le blocage de certains sites empêchera l’activation des vidéos en lecture automatique, mais cela vous empêchera également de voir les vidéos que vous souhaitez réellement regarder diffusées sur les mêmes services. Bien que le fichier hosts ne soit pas une cible courante de logiciels malveillants, il a été utilisé dans le cadre d’attaques de logiciels malveillants dans le passé, généralement pour empêcher l’utilisateur final de visiter des sites de sécurité. Bien qu’il n’y ait pas d’exemples récents de fichiers hôtes abusés de cette manière à ma connaissance, cela s’est produit dans le passé.

Psssssst :  Windows 10 atteint enfin le cap du milliard d'appareils

Plusieurs sources en ligne état Microsoft a modifié Windows Defender afin qu’il vérifie spécifiquement si un fichier hosts a été mis à jour pour bloquer les serveurs de télémétrie de Microsoft. Ce qui est un peu étrange à ce sujet, c’est que le système d’exploitation a apparemment effectué un certain niveau de vérification pendant un certain temps, comme en témoigne ce Histoire de Windows 8 recommandant aux utilisateurs d’exclure le fichier hosts des analyses antivirus s’ils envisagent de le modifier. Le problème semble s’être aggravé ou n’a refait surface que récemment, mais c’était un problème connu depuis quatre ans.

Selon Ordinateur qui sonne, ils ont modifié leur propre fichier d’hôtes de plusieurs manières sans provoquer de tollé de la part de Windows Defender avant de tenter de bloquer les serveurs de télémétrie de MS. Lorsqu’ils l’ont fait, le fichier hosts a en fait refusé d’être enregistré, affirmant qu’il était infecté par SettingsModifier:Win32/HostsFileHijack :

Fichier par BleepingComputer. Les fichiers hôtes sont des fichiers .TXT et ne peuvent pas contenir de virus tels qu’ils sont traditionnellement définis.

Bien que vous puissiez exclure le fichier hosts de l’analyse, cela semblerait confirmer que Microsoft vérifie désormais spécifiquement si vous essayez de bloquer ses serveurs de télémétrie – même s’il contourne également le fichier hosts et communique directement avec les adresses IP pour la télémétrie fins. Le fait que la collecte de données Windows ne dépende pas exclusivement des serveurs de télémétrie que vous pouvez bloquer dans le fichier hosts signifie que MS a peut-être réglé Windows Defender pour tenter d’empêcher les logiciels malveillants d’infecter un système de cette manière, au lieu de tenter délibérément d’empêcher les utilisateurs finaux de bloquer manuellement la collecte de télémétrie.

Malheureusement, dire à un système de ne pas analyser le fichier hosts n’est pas non plus une solution infaillible. Dans ce cas, vous pouvez empêcher MS de vous crier dessus, mais en échange, vous ne saurez pas si une autre l’application a également modifié votre fichier hosts. Idéalement, le système d’exploitation notera que le fichier hosts a changé et demandera à l’utilisateur final si le changement était intentionnel plutôt que de forcer l’utilisateur final à choisir entre se protéger contre les logiciels malveillants de cette manière ou non.

Psssssst :  Fuite de la feuille de route AMD : plate-forme majeure, changements graphiques à venir dans Zen 4

La raison pour laquelle je ne suis pas sûr qu’il s’agisse d’un mouvement destiné à stimuler la collecte de données de Microsoft est simple : la collecte de télémétrie de Microsoft n’est pas bloquée par les modifications du fichier hôte, il n’est donc pas clair qu’ils modifieraient la façon dont ils traitent le fichier hôte pour effectuer la collecte de données. Plus facile. La plupart des guides antivirus / antimalware ne recommandent pas spécifiquement une approche basée sur les fichiers hôtes, car des listes interminables de sites Web sont un mauvais moyen d’essayer de bloquer les logiciels malveillants et parce qu’il est tout à fait courant de finir par personnaliser votre liste pour éviter de bloquer les sites que vous voulez être. pouvoir accéder.

Quoi qu’il en soit, vous devez être conscient que vous pouvez voir des détections de logiciels malveillants dans les jours à venir qui ne signifient pas réellement une infection par un logiciel malveillant. Si vous avez modifié manuellement votre fichier hosts à dessein, vous devez vérifier que les données n’ont pas changé. Si c’est le cas, dites à Windows Defender d’exclure l’analyse du fichier hosts à l’avenir. Des instructions sur le blocage complet de la collecte de télémétrie peuvent être trouvées ici. Cela nécessite plus qu’une simple modification du fichier hosts.

Maintenant lis:

Bouton retour en haut de la page