Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 60
脅威 部門より
hostsファイルでMicrosoft関連ホストを指定すると、Windows Defender Antivirus(Microsoft Defender Antivirus)やMicrosoft Security Essentialsが脅威として検出するようになっている(Bleeping Computerの記事、 Ghacksの記事、 BetaNewsの記事)。
Windows Defender Antivirusの場合は変更がリアルタイムで検出されることはなかったが、ファイルを選択してスキャンすると「SettingsModifier:Win32/HostsFileHijack」として検出される。ここで「削除」(デフォルト)または「検疫」を選択して「操作の開始」をクリックするとhostsファイルが再生成されるようで、既定の内容に戻されてしまう。Microsoft Security Essentialsの場合は変更を保存するとすぐに検出され、自動で既定の内容に戻された。
この脅威を解説するMicrosoftの記事は1月に公開されているが、脅威として検出されるエントリの具体的な内容には触れられていない。ただし、6月から更新していなかったWindows Defender Antivirus(Windows 8.1)とMicrosoft Security Essentials(Windows 7)でも検出されたので、最近の変更ではなさそうだ。スラドでは2009年にWindows Defenderがhostsファイルを書き換えるという話題が出ていたが、この時の脅威(SettingsModifier:Win32/PossibleHostsFileHijack)とは別物だ。2012年にはWindows 8のWindows Defenderがhostsファイルの変更をブロックすることも話題になっている。
なお、Bleeping Computerの記事では15件のMicrosoft関連ホストが検出対象として挙げられているが、手元の環境で試した限りでは「www.microsoft.com」「microsoft.com」「us.vortex-win.data.microsoft.com」のいずれかを追加した場合のみ脅威として検出された。また、「www.microsoft.com」と「microsoft.com」に関しては、エントリを追加しても無視されるようだ。
復旧方法 (スコア:3, 参考になる)
「ウイルスと脅威の防止の設定」で「除外」するファイルとして「C:\Windows\System32\drivers\etc\hosts」を指定。
その後「脅威履歴」で「SettingsModifier:Win32/HostsFileHijack」を「復元」。
これで無事に元通り。
誤って「削除」したらサヨウナラ。
Re: (スコア:0)
除外指定すればいいのは2012年のWindows 8で騒ぎになったときと同じなのね
やられた・・・ (スコア:2, 興味深い)
hostsファイルが勝手に初期化されるなんて想定外。
大量に書き込んでいたipアドレス情報が失われました。
#ウイルスよりもMSのやることの方が脅威度が高い
Re: (スコア:0)
普通、同じ階層に一つ前のリビジョンをバックアップで置いとくだろ
Re: (スコア:0)
hosts
hosts - コピー (1)
hosts - コピー - コピー
hosts_20200808最新_上長承認済み
hosts_new
hosts_最新版
Re: (スコア:0)
ほかのドライブに置いてたバックアップもアクセスしようとしたとたんに脅威判定されたよw
Re: (スコア:0)
同じく
ノートのほうは内外の接続環境によって
自鯖の参照が変わるため元より
別ファイルで自動上書き用別ファイルがあって
事なきを得ましたが
デスクトップのほうは危なかった
バックアップ取っておいてよかったよ
■今後の対策
・Windows Defenderで除外フォルダ指定
ウィルスと脅威の防止>ウィルスと脅威の防止設定(設定の管理)>除外(除外の追加または削除)
・デスクトップもスケジューラで上書くようにする?
# ウィルスと脅威の防止による強意的な脅威に驚異を禁じ得ない
Re: (スコア:0)
■今後の対策
・Windows Defenderで除外フォルダ指定
ウィルスと脅威の防止>ウィルスと脅威の防止設定(設定の管理)>除外(除外の追加または削除)
をみこしてそこにウイルスを置く人が増えるだろう。
Re: (スコア:0)
特定のファイルだけを除外できるよ。
Re: (スコア:0)
一応オフィス用でもあるOSなのに、これは酷い。
Re: (スコア:0)
「SettingsModifier:Win32/HostsFileHijack」、名前に偽り無し
そりゃ脅威だろ (スコア:1)
偽サーバに誘導させるためのhosts書き換え攻撃受けてるようにしか見えないし当然だろ
Re: (スコア:0)
Re: (スコア:0)
MSのサーバアドレス書き換えへの反応であって、
テレメトリ収集サーバのアドレス書き換え「だけ」への反応ではありませんよ
テレメトリ行為を妨害したければ自宅のDNSでレコード書き換えればよいのでは?
Re: (スコア:0)
テレメトリ収集サーバのアドレス書き換え「だけ」だよ
Re: (スコア:0)
もしかして認証が甘くって第三者のサーバにテレメトリを送られてしまう,みたいな問題があったりするのかな?
Re: (スコア:0)
Re: (スコア:0)
イソジンとかマスクが無くなるような世の中、
このファイルを書き換えれば快適になる!と嘘ネタをテレビで言えば使用者自身がhostsを書き換えますよ
Re: (スコア:0)
いや、題名だけじゃなくて元記事も読もうよ
【プライバシーの侵害】テレメトリ収集拒否の妨害 (スコア:1)
これは、驚異への対応を名目とした、テレメトリ収集拒否を妨害する行為であって、プライバシーを侵害するリスクがあります。
そもそも、us.vortex-win.data.microsoft.com (テレメトリ収集サーバ) のIPアドレスを指定する人の大半は、
0.0.0.0 us.vortex-win.data.microsoft.com
や
127.0.0.1 us.vortex-win.data.microsoft.com
のように無効なIPアドレスやループバックアドレス・プライベートIPアドレス等を指定して、情報収集を拒否する目的です。
このような 0.0.0.0 や 127.0.0.1 は脅威として検出すべきではありません。
そもそも、Microsoftによる通信はTLSで暗号化されていますので、悪意のある第三者のサーバのIPアドレスを指定されたところで、証明書エラーで通信できなくなるだけです。
これを脅威として検出するのは、テレメトリ収集拒否の妨害としか言いようがありません。
Re:【プライバシーの侵害】テレメトリ収集拒否の妨害 (スコア:2)
127.0.0.1(ループバック)は脅威としないと駄目でしょう。
待ち受け可能になってしまう。
Re:【プライバシーの侵害】テレメトリ収集拒否の妨害 (スコア:1)
127.0.0.1(ループバック)は脅威としないと駄目でしょう。
こういうことか!
127.0.0.1は私が使っていますので使わないでください
# そーじゃねー
Re: (スコア:0)
> 127.0.0.1は私が使っていますので使わないでください
その人ももうスラドは見なくなったようですね。
Re: (スコア:0)
https://twitter.com/Liliaceae/status/1193870305690677249 [twitter.com]
こういう意見もあるから切るかどうかよく考えるんやで。
Re: (スコア:0)
実際スタートメニューはそういう理由でスタート画面になったらしい。
Re: (スコア:0)
確かに8出した時言ってましたね。
Re: (スコア:0)
自分自身の?
Re: (スコア:0)
深めに墓穴掘るのやめなよ
DefenderがローカルDNSサーバをウィルスとして検出する日も近いな (スコア:0)
Re: (スコア:0)
DNSサーバソフトの「unbound」では、ルートネームサーバがハードコーディングしてある
よって設定しなくても動く
Re: (スコア:0)
ルートネームサーバが変わったらどうすんだ? (実際変わったことあるし)
語られていない情報漏洩問題 (スコア:0)
Windows Defederの既定設定では、検体はMicrosoftに自動送信されます。
つまり、不正と身勝手に判定された Hosts ファイルはMicrosoftに収集され、
Windows以外も含めて組織内のネットワーク情報が漏洩します。
Re:語られていない情報漏洩問題 (スコア:1)
Windows Defederの既定設定では、検体はMicrosoftに自動送信されます。
サンプル送信オンのままの人なんてここにいるん?
Re: (スコア:0)
スラドは思考の浅い人ばかりってこと?
Re: (スコア:0)
てか、このサイトの利用者は広告ブロック使ってる人多いだろうし、
職場から見ることもあるだろうから、こういうのは敏感じゃね
Re: (スコア:0)
「敏感なんだから文句言うなよ」ってのは気が狂った思考じゃね?
Re: (スコア:0)
テレメトリもそうだけど、自分にとって使い勝手が上がったり品質の向上を望むならONにしとくだろ。
テレメトリ無効にしといたくせにこの機能は使われていないみたいなんで削りますって言ったら発狂するのは愚の極みだろ。
Re: (スコア:0)
完全にスパイウエアだな
#自動サンプル送信をオフ設定してた。セーフ
検疫対象から除外すればいいだけの話ではないの? (スコア:0)
よくわからんけど、
ウィルスと脅威の防止 → ウイルスと脅威の防止の設定 → 除外
から検疫の除外対象ファイルを設定できるんだから、hostsを除外対象に設定すればいいのでは。
hostsファイルを改竄するマルウェアは当然想定される以上、Windows Defenderの動作が不適当とも言えないんだから、
自分で設定して自衛するしかないのでは?
私は自分のホームフォルダを除外設定してるぞ(PowerShellスクリプトにときどき誤爆するので)。
Re: (スコア:0)
自慢げにホームフォルダ除外とか言うなよ、恥ずかしい。
Re: (スコア:0)
問題が起きてから「〜すればいいのでは?」は後出しにも程がある
Re: (スコア:0)
いやいや。それじゃ不十分だよ。
今回はhostsがターゲットとしてやられたけど、今後はどのファイルが同じように脅威判定されるか分からない。
ウィルスと脅威の防止 → ウイルスと脅威の防止の設定 → 除外
で、HDD/SSD内の全フォルダを指定しないとダメ
面白い人たちだなあ (スコア:0)
スマホでガンガン垂れ流しなから喚くあたりが。ルート取って書き換えてるなら妥当ですけど。
Re: (スコア:0)
なんでGoogle信者ってこんなにわかりやすく馬鹿なの?
Re: (スコア:0)
違うよ、馬鹿だからGoogle信者になるのさ
Re: (スコア:0)
Re: (スコア:0)
ハックしてテレメトリを妨害するほどプライバシーに敏感なユーザーがGoogle使ってるのかよ(笑)。
Re: (スコア:0)
斜に構えて明後日の方を向くACであった
Re: (スコア:0)
釣り乙
Re: (スコア:0)
Googleアナリティクスをブロックしてる人は居ますよ。
ブラウザが標準でブロックする時代ですけど。
Double Clickとかもブロックしてる人は多いと思う。