settingsmodifier win32 possiblehostsfilehijack что это
Hosts file is detected as malware in Windows Defender
Symptoms
Consider the following scenario:
You install Windows 8.
You change the Hosts file by specifying custom IP-address-to-host-name mappings to prevent users from browsing to some websites.
You run a scan in Microsoft Windows Defender.
In this scenario, the Hosts file is detected as a SettingsModifier:Win32/PossibleHostsFileHijack malware threat by Windows Defender.
Cause
This issue occurs because Windows Defender may determine incorrectly that the Hosts file was changed by malware, such as adware or spyware. Typically, malware programs change the Hosts file to redirect users to malicious websites. Therefore, Windows Defender may detect the Hosts file as a security threat.
Resolution
To resolve this issue, exclude the Hosts file from scanning in Windows Defender. To do this, follow these steps:
Open Windows Defender.
On the Settings tab, click Excluded files and locations.
Under File locations, click Browse.
Locate and then click the Hosts file.
Note By default, the Hosts file is located in the %systemroot%\system32\drivers\etc folder.
Click Add, and then click Save changes.
Exit Windows Defender.
References
For more information about the SettingsModifier:Win32/PossibleHostsFileHijack malware threat, go to the following Microsoft Malware Protection Center encyclopedia entry:
For information about how to reset the Hosts file to the default settings, click the following article number to go to the article in the Microsoft Knowledge Base:
972034 How can I reset the Hosts file back to the default?
Как избавиться от сообщения SettingsModifier:Win32/HostsFileHijack
Забота Microsoft о безопасности своей операционной системы вполне понятна: в крупнейшей софтверной компании решили, что не стоит доверять защиту ПК сторонним компаниям, специализирующимся на антивирусном ПО. Увы, но защитник Windows, берущий на себя эти обязанности, пока справляется с угрозами не слишком хорошо. Да, с каждым обновлением он становится лучше, но при этом такая его черта, как подозрительность, только усиливается. И это многим пользователям совсем не нравится.
Сегодня речь пойдёт об ошибке SettingsModifier:Win32/HostsFileHijack, выдаваемой Microsoft Defender, имеющей непосредственное отношение к сказанному выше.
Что это за угроза
В компьютерной терминологии слово Hijack ассоциируется с вирусным ПО, стремящимся захватить контроль над компьютером пользователя с самыми неблаговидными целями. Например, чтобы показывать рекламные объявления или отслеживать действия владельца ПК, а то и вовсе с целью кражи конфиденциальной информации, в том числе финансовой.
Поэтому, если пользователь видит на экране своего монитора надпись SettingsModifier:Win32/HostsFileHijack, он вполне обоснованно подозревает, что подхватил вирус. И начинает искать информацию, как избавиться от этого зловредного кода. И очень быстро убеждается, что, скорее всего виновником появления такой ошибки является он сам.
Оказывается, Защитник Windows 10 таким своеобразным образом реагирует на отключение телеметрии Microsoft, выполненной посредством блокировки доступа к целому пулу сайтов на своём и некоторых других доменах. Такие сообщения участились с конца июля 2020 года, когда соответствующие изменения были внедрены посредством очередного обновления операционной системы.
Впрочем, изменение содержимого файла hosts Microsoft Defender отслеживал и до этого, и вполне обоснованно классифицировал такие действия как угрозу. Такой метод заражения файла hosts отслеживают многие антивирусы, например, антивирус Касперского (Trojan.Win32.Qhost) или McAfee, у которого эта угроза называется Qhosts.apd.
Но если добавление в файл hosts новых строк ранее было предметом анализа на наличие реальных угроз, то теперь Защитник «ругается» на действия пользователей, направленные на блокировку доступа со стороны операционной системы к серверам, ответственным за обеспечение функции телеметрии.
Что же собой представляет этот файл и каковы его особенности?
Он присутствует в составе большинства операционных систем, в том числе Microsoft, начиная с версии ХР. Место его расположения неизменно, это каталог C:\Windows\System32\drivers\etc\. Сам файл относится к системным, то есть, чтобы его редактировать, нужно обладать правами администратора. Это обычный текстовый файл, в который вносятся адреса сайтов в символьном виде и им ставится в соответствие цифровой IP-адрес. Смысл таких действий становится понятным, если знать, что hosts обрабатывается в первую очередь, и только потом операционная системы перенаправляет запрос с использованием системы доменных имён, то есть DNS. Самый очевидный способ использования файла – блокировка доступа к определённым сайтам, чего можно добиться, если поставить им в соответствие локальный IP-адрес типа 127.0.0.1 или несуществующий 0.0.0.0.
Но этой особенностью пользуются и вирусы, внося в hosts строки, позволяющие перенаправлять пользователя не на тот сайт, который он набрал в адресной строке, то есть делать хитрый редирект.
Так что отслеживание содержимого этого файла – действительно нужная работа. Но в нашем случае Windows расценила как угрозу попытку заблокировать доступ к серверам, принадлежащим Microsoft и отслеживающим телеметрию, на уровне правки файла hosts.
Проблему обнаружили не сразу, но вскоре выяснилось, что предупреждение SettingsModifier:Win32/HostsFileHijack будет появляться, если пользователь запретил доступ к любому из достаточно большого перечня доменов и поддоменов софтверного гиганта:
И хотя в сообщении утверждается об уровне угрозы как критическом, это, конечно, не соответствует действительности, поскольку такие действия предпринимаются пользователями по собственной инициативе с единственной целью: не дать отслеживать свою деятельность, даже если это делается с самыми благовидными намерениями. В чём большинство, конечно же, сомневается.
Что делать в случае появлении сообщения
Когда появляется сообщение об угрозе, одновременно вам будет предложено выбрать один из трёх возможных сценариев (это стандартный ответ Windows Defender на подобные ситуации):
Если выбрать первый вариант, то в случае обнаружения вируса Защитник попытается его удалить. В нашем случае он просто восстановит файл hosts к состоянию, которое он имел сразу после установки Windows, то есть все добавленные вами записи будут стёрты. В том числе и те, которые блокировали телеметрию.
При выборе «Поместить в карантин» заражённый файл перемещается в специальное место, где он не сможет проявлять активность. Но поскольку у нас файл, который нужен операционной системе, он опять же будет восстановлен до дефолтного состояния.
Выбрав «Разрешить использование», вы просите Защитник оставить всё как есть. То есть ничего не делать с файлом hosts, который вы правили в соответствии со своими убеждениями.
Если вы выбрали третий вариант, будьте готовы к тому, что это сообщение будет появляться снова. Как удалить ошибку? Только отменив блокировку сайтов Microsoft. Хотя есть и альтернативное решение: вообще отказаться от использования Защитника, но такой вариант мы советовать не будем. Даже если у вас установлено хорошее антивирусное ПО, которое служило вам верой и правдой на протяжении многих лет.
Обнаружены угрозы SettingsModifier:Win32/HostsFileHijack в Windows 10 — почему и что делать
Автор: admin · 19 декабря, 2020
При работе в операционной системе Windows 10 со свежими обновлениями пользователь достаточно часто видит уведомление защиты от угроз о существовании угрожающей ситуации для компьютера. При этом в более подробном изложении в соответствующем разделе Угроз предупреждается, что обнаружена критическая угроза
Система предлагает ее сразу же ликвидировать. Важно понимать, что происходит, если обнаружены угрозы SettingsModifier:Win32/HostsFileHijack в Windows 10, насколько серьезной оказывается ситуация и как избежать проблем.
Ситуация с угрозой
Уведомление о наличии указанной угрозы свидетельствует, что произошли изменения, касающиеся файла hosts, они могут быть опасны для работоспособности системы. Пользователям стоит для начала почитать более подробную информацию об этом объекте и его значении.
Предупреждения такого рода стали появляться недавно. Все дело в том, что в последних обновлениях операционной системы в качестве нежелательного и даже опасного момента стала считаться блокировка серверов Майкрософт в упомянутом файле. А заблокированы они практически у всех, кто использует эту операционную систему.
Связано это с отключением пользователями телеметрии при использовании разнообразных программных продуктов, применение разных программ, отключающих обновления операционной системы.
Все эти утилиты применяют разнообразные способы блокировки, одним из которых является перенаправление обращений системы к серверам Майкрософт.
В последнее время такую ситуацию начали считать угрожающей. В дополнение к этому некоторые программы без соответствующей лицензии часто меняют содержание файла hosts.
В реальности изменения в упомянутом файле практически никак не влияют на безопасность использования системы. Но подчас изменения в нем бывают опасны и недопустимы. Следствием их бывает, например, блокировка сайтов антивирусов на компьютере.
Что предпринять
Если пользователь имеет достаточный опыт работы с угрозами такого типа и полностью убежден в безопасности изменений содержания hosts, можно на компьютере зайти в сведения об угрозе от защитника операционной системы и выполнить Разрешить. В этом случае система прекратит попытки вмешиваться в ситуацию такого рода.
Проделать описанное стоит немедленно при получении сообщения об опасности, поскольку спустя некоторое время происходит самопроизвольное восстановление файла, не требующее никаких дополнительных действий.
При наличии некоторых сомнений файл можно отредактировать в любой удобной программе, просмотреть его, проанализировать и изменить, если это потребуется.
Обычно hosts на устройстве блокируется для просмотра и редактирования, если обнаружена опасность. Чтобы его разблокировать, нужно выполнить Разрешить.
Полное отключение Защитника является крайней мерой, ее рекомендовать затруднительно.
Предупреждение Обнаружены угрозы SettingsModifier не может серьезно осложнять работу системы. Все проблемы могут быть решены достаточно просто.
Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
SettingsModifier Win32 HostsFileHijack: что это за угроза и как ее удалить
После одного из очередных обновлений Windows 10 пользователь может столкнуться с ошибкой критического уровня, которая указывает на угрозу SettingsModifier: Win32 / HostsFileHijack. “Защитник Windows” автоматически при анализе файлов операционной системе способен обнаружить эту угрозу и сообщить о ней пользователю. Рассмотрим рекомендации, что делать при возникновении данной ошибки.
Угроза SettingsModifier: Win32 / HostsFileHijack — что это
Когда защитник Windows определяет наличие угрозы SettingsModifier: Win32 / HostsFileHijack — это значит, что в файле hosts были обнаружены некоторые изменения, которые направлены, по мнению антивируса, на дестабилизацию работы системы. Но не всегда эти изменения носят действительно критический характер, как указывает “Защитник Windows”.
С последними обновлениями антивирус начал подобным образом реагировать на наличие в файле hosts запретов на доступ к серверам Microsoft. Часто эти сервера блокируются в hosts, когда пользователь хочет запретить автоматическую загрузку на компьютер обновлений Windows 10 или выполнялись работы по отключению телеметрии — ее многие пользователи операционной системы Microsoft называют “функцией слежения”.
Соответственно, когда в файле hosts система обнаруживает блокировку доступа к серверам Microsoft, она реагирует соответствующей ошибкой — SettingsModifier: Win32 / HostsFileHijack.
При возникновении ошибки на ней указан уровень угрозы “Критический”, хотя это далеко не так, если пользователь осознанно и самостоятельно настроил hosts таким образом.
Бывают исключения, когда одна (или несколько) вредоносная программа вносит изменения в hosts против желания пользователя. В таких случаях тоже возникает ошибка SettingsModifier: Win32 / HostsFileHijack.
Что делать при возникновении ошибки об угрозе
При обнаружении угрозы появляется сообщение, где указано “Запустите рекомендуемые действия”. Можно выбрать один из 3 вариантов:
Если вы просто проигнорируете это сообщение, защитник Windows воспримет данный шаг как команду “Удалить”.