settingsmodifier win32 hosts file hijack что это
Обнаружены угрозы SettingsModifier:Win32/HostsFileHijack в Windows 10 — почему и что делать
Автор: admin · 19 декабря, 2020
При работе в операционной системе Windows 10 со свежими обновлениями пользователь достаточно часто видит уведомление защиты от угроз о существовании угрожающей ситуации для компьютера. При этом в более подробном изложении в соответствующем разделе Угроз предупреждается, что обнаружена критическая угроза
Система предлагает ее сразу же ликвидировать. Важно понимать, что происходит, если обнаружены угрозы SettingsModifier:Win32/HostsFileHijack в Windows 10, насколько серьезной оказывается ситуация и как избежать проблем.
Ситуация с угрозой
Уведомление о наличии указанной угрозы свидетельствует, что произошли изменения, касающиеся файла hosts, они могут быть опасны для работоспособности системы. Пользователям стоит для начала почитать более подробную информацию об этом объекте и его значении.
Предупреждения такого рода стали появляться недавно. Все дело в том, что в последних обновлениях операционной системы в качестве нежелательного и даже опасного момента стала считаться блокировка серверов Майкрософт в упомянутом файле. А заблокированы они практически у всех, кто использует эту операционную систему.
Связано это с отключением пользователями телеметрии при использовании разнообразных программных продуктов, применение разных программ, отключающих обновления операционной системы.
Все эти утилиты применяют разнообразные способы блокировки, одним из которых является перенаправление обращений системы к серверам Майкрософт.
В последнее время такую ситуацию начали считать угрожающей. В дополнение к этому некоторые программы без соответствующей лицензии часто меняют содержание файла hosts.
В реальности изменения в упомянутом файле практически никак не влияют на безопасность использования системы. Но подчас изменения в нем бывают опасны и недопустимы. Следствием их бывает, например, блокировка сайтов антивирусов на компьютере.
Что предпринять
Если пользователь имеет достаточный опыт работы с угрозами такого типа и полностью убежден в безопасности изменений содержания hosts, можно на компьютере зайти в сведения об угрозе от защитника операционной системы и выполнить Разрешить. В этом случае система прекратит попытки вмешиваться в ситуацию такого рода.
Проделать описанное стоит немедленно при получении сообщения об опасности, поскольку спустя некоторое время происходит самопроизвольное восстановление файла, не требующее никаких дополнительных действий.
При наличии некоторых сомнений файл можно отредактировать в любой удобной программе, просмотреть его, проанализировать и изменить, если это потребуется.
Обычно hosts на устройстве блокируется для просмотра и редактирования, если обнаружена опасность. Чтобы его разблокировать, нужно выполнить Разрешить.
Полное отключение Защитника является крайней мерой, ее рекомендовать затруднительно.
Предупреждение Обнаружены угрозы SettingsModifier не может серьезно осложнять работу системы. Все проблемы могут быть решены достаточно просто.
Антивирус Windows 10 считает «критической угрозой» блокировку телеметрии Microsoft через файл HOSTS
Файл расположен по пути C:\Windows\System32\drivers\etc\hosts и может редактироваться только администратором устройства.
Данный файл используется для сопоставления имен хостов с IP-адресами без использования системы доменных имен (DNS).
Обычно файл используется для блокировки нежелательных сайтов, за счет указания редиректа на IP-адреса 127.0.0.1 или 0.0.0.0.
Например, если вы добавите следующую строку в файл HOSTS, то пользователи Windows не смогут получить доступ к www.google.com, Браузер посчитает, что пытаетесь подключиться к 127.0.0.1, т.е. к адресу локального компьютера.
Microsoft стала помечать файлы HOSTS, которые блокируют телеметрию Windows
С конца июля пользователи Windows 10 стали сообщать, что встроенная антивирусная программа «Защитник Windows» стала распознавать измененные файлы HOSTS как угрозу SettingsModifier:Win32/HostsFileHijack.
Если пользователь выбирает опцию «Подробнее», то антивирус сообщит, что устройство затронуто критической угрозой “SettingsModifier:Win32/HostsFileHijack” из категории Изменение параметров, которая является потенциально опасной.
Впервые о проблеме стало известно из блога BornCity. Хотя обнаружение взломов HOSTS не является чем-то неординарным, количество затронутых пользователей действительно поражало.
Массовые заражения нередко встречались раньше, но с текущим уровнем безопасности WIndows 10 все это было странно. Казалось, что это ложное срабатывание или безвредная проблема.
После тестирования оказалось, что срабатывание возникало после внесения в файл HOSTS правил для блокировки серверов телеметрии Windows 10. Даже при попытке сохранить изменения в файле отображалось предупреждение «Содержит вирус или потенциально нежелательное ПО». Также появлялись уведомления, что компьютер заражен SettingsModifier:Win32/HostsFileHijack.
По всей видимости, Microsoft недавно обновила сигнатурные определения Защитника Windows и настроила распознавание правил блокировки серверов телеметрии в файле HOSTS.
Таким образом, пользователи, которые блокируют телеметрию через HOSTS, получили предупреждение о заражении файла.
При тестировании были установлены домены, на которые реагирует Защитник Windows в файле HOSTS:
Если вы решите удалить угрозу, то Windows восстановит стандартный файл HOSTS.
Конечно, пользователи, которые таким способом блокируют телеметрию в Windows 10, могут проигнорировать угрозу, но в этом случае они рискуют пропустить реальный взлом HOSTS.
Разрешайте угрозу только, если вы хорошо понимаете потенциальные риски.
Microsoft пока никак не прокомментировала данные изменения в обнаружении.
SettingsModifier Win32 HostsFileHijack: что это за угроза и как ее удалить
После одного из очередных обновлений Windows 10 пользователь может столкнуться с ошибкой критического уровня, которая указывает на угрозу SettingsModifier: Win32 / HostsFileHijack. “Защитник Windows” автоматически при анализе файлов операционной системе способен обнаружить эту угрозу и сообщить о ней пользователю. Рассмотрим рекомендации, что делать при возникновении данной ошибки.
Угроза SettingsModifier: Win32 / HostsFileHijack — что это
Когда защитник Windows определяет наличие угрозы SettingsModifier: Win32 / HostsFileHijack — это значит, что в файле hosts были обнаружены некоторые изменения, которые направлены, по мнению антивируса, на дестабилизацию работы системы. Но не всегда эти изменения носят действительно критический характер, как указывает “Защитник Windows”.
С последними обновлениями антивирус начал подобным образом реагировать на наличие в файле hosts запретов на доступ к серверам Microsoft. Часто эти сервера блокируются в hosts, когда пользователь хочет запретить автоматическую загрузку на компьютер обновлений Windows 10 или выполнялись работы по отключению телеметрии — ее многие пользователи операционной системы Microsoft называют “функцией слежения”.
Соответственно, когда в файле hosts система обнаруживает блокировку доступа к серверам Microsoft, она реагирует соответствующей ошибкой — SettingsModifier: Win32 / HostsFileHijack.
При возникновении ошибки на ней указан уровень угрозы “Критический”, хотя это далеко не так, если пользователь осознанно и самостоятельно настроил hosts таким образом.
Бывают исключения, когда одна (или несколько) вредоносная программа вносит изменения в hosts против желания пользователя. В таких случаях тоже возникает ошибка SettingsModifier: Win32 / HostsFileHijack.
Что делать при возникновении ошибки об угрозе
При обнаружении угрозы появляется сообщение, где указано “Запустите рекомендуемые действия”. Можно выбрать один из 3 вариантов:
Если вы просто проигнорируете это сообщение, защитник Windows воспримет данный шаг как команду “Удалить”.
Как удалить SettingsModifier:Win32/PossibleHostsFileHijack
SettingsModifier:с Win32/PossibleHostsFileHijack это вирус обнаруживается Майкрософт Windows защитник.
В SettingsModifier:с Win32/PossibleHostsFileHijack эвристическое обнаружение классифицируется как вирус или вредоносные программы, потому что это наносит и действует как вредоносного угрозы на вашем Windows ХР, Windows Vista, Windows 7, Windows 8 или 10 Windows компьютерной системы.
SettingsModifier:с Win32/PossibleHostsFileHijack изменяет системные файлы, новые папки добавить, создает задачи Windows и добавляет файлы для заражения и взлома компьютерной системы.
SettingsModifier:с Win32/PossibleHostsFileHijack-это вирус, который загружается или упал на вашем компьютере во время серфинга или загрузки программного обеспечения из интернета. Большинство пользователей понятия не имеют, как это SettingsModifier:с Win32/PossibleHostsFileHijack опасный установлена на их компьютере, пока их Windows защиты защитника определяет его как вредоносную угрозу, вредоносных программ или вирусов.
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Если ваша защита обнаруживает SettingsModifier:вирус Win32/PossibleHostsFileHijack, не помеченных на удаление по умолчанию. Он определяется как вредоносный и посоветовал удалить SettingsModifier:с Win32/PossibleHostsFileHijack с вашего компьютера.
Шаг 1: Остановите все SettingsModifier:Win32/PossibleHostsFileHijack процессы в диспетчере задач
Шаг 2: Удалите SettingsModifier:Win32/PossibleHostsFileHijack сопутствующие программы
Шаг 3: Удалите вредоносные SettingsModifier:Win32/PossibleHostsFileHijack записи в системе реестра
Шаг 4: Устранить вредоносные файлы и папки, связанные с SettingsModifier:Win32/PossibleHostsFileHijack
Шаг 5: Удаление SettingsModifier:Win32/PossibleHostsFileHijack из вашего браузера
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Internet Explorer
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Mozilla Firefox
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Google Chrome
* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. более подробная информация о SpyHunter. Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, нажмите здесь.
Как избавиться от сообщения SettingsModifier:Win32/HostsFileHijack
Забота Microsoft о безопасности своей операционной системы вполне понятна: в крупнейшей софтверной компании решили, что не стоит доверять защиту ПК сторонним компаниям, специализирующимся на антивирусном ПО. Увы, но защитник Windows, берущий на себя эти обязанности, пока справляется с угрозами не слишком хорошо. Да, с каждым обновлением он становится лучше, но при этом такая его черта, как подозрительность, только усиливается. И это многим пользователям совсем не нравится.
Сегодня речь пойдёт об ошибке SettingsModifier:Win32/HostsFileHijack, выдаваемой Microsoft Defender, имеющей непосредственное отношение к сказанному выше.
Что это за угроза
В компьютерной терминологии слово Hijack ассоциируется с вирусным ПО, стремящимся захватить контроль над компьютером пользователя с самыми неблаговидными целями. Например, чтобы показывать рекламные объявления или отслеживать действия владельца ПК, а то и вовсе с целью кражи конфиденциальной информации, в том числе финансовой.
Поэтому, если пользователь видит на экране своего монитора надпись SettingsModifier:Win32/HostsFileHijack, он вполне обоснованно подозревает, что подхватил вирус. И начинает искать информацию, как избавиться от этого зловредного кода. И очень быстро убеждается, что, скорее всего виновником появления такой ошибки является он сам.
Оказывается, Защитник Windows 10 таким своеобразным образом реагирует на отключение телеметрии Microsoft, выполненной посредством блокировки доступа к целому пулу сайтов на своём и некоторых других доменах. Такие сообщения участились с конца июля 2020 года, когда соответствующие изменения были внедрены посредством очередного обновления операционной системы.
Впрочем, изменение содержимого файла hosts Microsoft Defender отслеживал и до этого, и вполне обоснованно классифицировал такие действия как угрозу. Такой метод заражения файла hosts отслеживают многие антивирусы, например, антивирус Касперского (Trojan.Win32.Qhost) или McAfee, у которого эта угроза называется Qhosts.apd.
Но если добавление в файл hosts новых строк ранее было предметом анализа на наличие реальных угроз, то теперь Защитник «ругается» на действия пользователей, направленные на блокировку доступа со стороны операционной системы к серверам, ответственным за обеспечение функции телеметрии.
Что же собой представляет этот файл и каковы его особенности?
Он присутствует в составе большинства операционных систем, в том числе Microsoft, начиная с версии ХР. Место его расположения неизменно, это каталог C:\Windows\System32\drivers\etc\. Сам файл относится к системным, то есть, чтобы его редактировать, нужно обладать правами администратора. Это обычный текстовый файл, в который вносятся адреса сайтов в символьном виде и им ставится в соответствие цифровой IP-адрес. Смысл таких действий становится понятным, если знать, что hosts обрабатывается в первую очередь, и только потом операционная системы перенаправляет запрос с использованием системы доменных имён, то есть DNS. Самый очевидный способ использования файла – блокировка доступа к определённым сайтам, чего можно добиться, если поставить им в соответствие локальный IP-адрес типа 127.0.0.1 или несуществующий 0.0.0.0.
Но этой особенностью пользуются и вирусы, внося в hosts строки, позволяющие перенаправлять пользователя не на тот сайт, который он набрал в адресной строке, то есть делать хитрый редирект.
Так что отслеживание содержимого этого файла – действительно нужная работа. Но в нашем случае Windows расценила как угрозу попытку заблокировать доступ к серверам, принадлежащим Microsoft и отслеживающим телеметрию, на уровне правки файла hosts.
Проблему обнаружили не сразу, но вскоре выяснилось, что предупреждение SettingsModifier:Win32/HostsFileHijack будет появляться, если пользователь запретил доступ к любому из достаточно большого перечня доменов и поддоменов софтверного гиганта:
И хотя в сообщении утверждается об уровне угрозы как критическом, это, конечно, не соответствует действительности, поскольку такие действия предпринимаются пользователями по собственной инициативе с единственной целью: не дать отслеживать свою деятельность, даже если это делается с самыми благовидными намерениями. В чём большинство, конечно же, сомневается.
Что делать в случае появлении сообщения
Когда появляется сообщение об угрозе, одновременно вам будет предложено выбрать один из трёх возможных сценариев (это стандартный ответ Windows Defender на подобные ситуации):
Если выбрать первый вариант, то в случае обнаружения вируса Защитник попытается его удалить. В нашем случае он просто восстановит файл hosts к состоянию, которое он имел сразу после установки Windows, то есть все добавленные вами записи будут стёрты. В том числе и те, которые блокировали телеметрию.
При выборе «Поместить в карантин» заражённый файл перемещается в специальное место, где он не сможет проявлять активность. Но поскольку у нас файл, который нужен операционной системе, он опять же будет восстановлен до дефолтного состояния.
Выбрав «Разрешить использование», вы просите Защитник оставить всё как есть. То есть ничего не делать с файлом hosts, который вы правили в соответствии со своими убеждениями.
Если вы выбрали третий вариант, будьте готовы к тому, что это сообщение будет появляться снова. Как удалить ошибку? Только отменив блокировку сайтов Microsoft. Хотя есть и альтернативное решение: вообще отказаться от использования Защитника, но такой вариант мы советовать не будем. Даже если у вас установлено хорошее антивирусное ПО, которое служило вам верой и правдой на протяжении многих лет.