Microsoft a decis să marcheze un fișier Windows drept risc „sever” de securitate

Autor: Aurelian Mihai 04.08.2020
Microsoft a decis să marcheze un fișier Windows drept risc „sever” de securitate

Încă de pe vremea lui Windows XP, utilizatorii ceva mai experimentați ai platformei Windows au descoperit că pot bloca orice adresă de internet editând un fișier de sistem bine ascuns în măruntaiele Windows. „Trucul” funcționează și în prezent, permițând inclusiv blocarea practicilor de colectare a informațiilor despre utilizatori, de care chiar Microsoft se folosește în mod uzual.

Windows Defender, întors împotriva utilizatorilor

Având în vedere faptul că practica editării fișierului HOSTS aflat la adresa C:\Windows\system32\driver\etc\HOSTS necesită minime cunoștințe de ordin tehnic, incluzând obținerea privilegiilor de acces la nivel de ”Administrator”, cineva de la Microsoft s-a gândit că blocarea editării respectivului fișier prin forța brută a motorului antivirus preinstalat pe sistemele Windows PC va trece neobservată.

Concret, fișierul cu pricina este folosit pentru a rezolva adresele IP des accesate fără a recurge la sistemul adrese Domain Name System (DNS), procesul fiind mult mai rapid decât în cazul accesării unui server DNS extern. Problema este că același fișier HOSTS poate fi folosit pentru a redirecționa adrese de internet legitime către destinații fictive, blocând efectiv conectarea. Acest lucru poate fi deosebit de folositor în tentativele de blocare a unei aplicații legitime din a accesa o anume adresă de internet, cum ar fi serverul de verificare a cheilor de licență generate cu ajutorul unui program de tip Keygen.

Foarte ușor de pus în practică, blocarea unei adrese de internet se face prin asocierea forțată cu o adresă IP garantat să returneze „conexiune inaccesibilă” cum ar fi 127.0.0.1 sau 0.0.0.0. Soluția găsită de Microsoft este să marcheze fișierul HOSTS modificat drept amenințare de securitate, oricând sunt detectate respectivele adrese.

Astfel, dacă în urma unei verificări antivirus de rutină primiți o alertă Windows Defender care conține denumirea ‘SettingsModifier:Win32/HostsFileHijack’, puteți fi siguri că mesajul nu vizează infectarea cu aplicații malware, ci editarea unui fișier de configurare Windows, într-un mod care nu este tocmai pe placul Microsoft.

Mai mult decât atât, Windows Defender blochează acum în mod activ editarea fișierului HOSTS, împiedicând salvarea documentului dacă textul nou introdus conține oricare dintre înregistrările mai sus amintite.

În mod convenabil, pentru Microsoft, folosirea opțiunii clean this threat rezultă în suprascrierea fișierului HOSTS cu o versiune predefinită, care exclude orice modificări aplicate ulterior.