Windows 10 gebruikers die het HOSTS-bestand hebben aangepast om het verzamelen van telemetriedata te blokkeren krijgen sinds kort een waarschuwing van Defender. Het detecteren van een gekaapt HOSTS-bestand is niet nieuw. De detectie SettingsModifier:Win32/HostsFileHijack als er een blokkeerlijst wordt gebruikt wel.
Ook wanneer u handmatig een domein van Microsoft toevoegt in het HOSTS-bestand verschijnt er bij het opslaan een melding. Kladblok geeft dan aan dat het bestand een virus of mogelijk ongewenste software bevat. Het moge wel duidelijk zijn dat Microsoft het niet op prijs stelt als u vanuit privacyoogpunt het verzamelen van data blokkeert.
Een goed alternatief voor meer privacy in Windows 10 is Avira Privacy Pal waar wij eerder een artikel over gepubliceerd hebben.
SettingsModifier:Win32/HostsFileHijack
Microsoft heeft deze detectie 14 januari 2020 toegevoegd. Dat Microsoft deze ‘bedreiging’ of eigenlijk een modificatie van het HOSTS-bestand als ernstig aanduidt is wel iets overdreven. In de basis brengt deze wijziging natuurlijk geen schade toe aan het systeem.
Het enige probleem dat kan optreden bij het blokkeren van domeinen van Microsoft is dat onderdelen in Windows niet meer correct functioneren. Dit gaat dan voornamelijk om functies die gebruikersgegevens verzamelen en naar Microsoft versturen. Op de website: Autoriteit Persoonsgegevens is daar meer over te lezen.
HOSTS-bestand in Windows openen en aanpassen
Als Microsoft Defender aangeeft dat het HOSTS-Bestand is gehijackt controleer dan als eerste om wat voor aanpassing het gaat. Kies dus nooit zomaar voor “Toestaan op dit apparaat”. Er bestaat namelijk ook malware die het HOSTS-bestand aanpast om schadelijke software te serveren. Op de volgende manier kunt u het bestand controleren.
- Open het startmenu en typ kladblok, en kies via de rechtermuisknop Als administrator uitvoeren.
- Klik op Bestand > Openen net navigeer naar de map: C:\Windows\System32\Drivers\etc
- Selecteer de optie alle bestanden en open het bestand HOSTS.
- Standaard bevat het HOSTS-bestand de volgende gegevens.
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Indien het HOSTS-bestand is aangepast zullen er bijvoorbeeld regels zoals onderstaand aanwezig zijn. Op deze manier wordt er dus een blokkade opgeworpen om te kunnen communiceren met dit domein. Maar dit geeft kwaadwillenden ook de mogelijkheid om omleidingen naar malafide domeinen in te stellen.
0.0.0.0 www.microsoft.com
127.0.0.1 www.microsoft.com
Win32/HostsFileHijack toestaan of verwijderen
Als u vanuit privacyoogpunt het HOSTS-bestand van Windows hebt aangepast, dan kunt u deze melding als volgt toestaan. Als u kiest voor de optie verwijderen of quarantaine zal Windows dit bestand herstellen naar de standaardwaarden.
Let op! Als u het HOSTS-bestand uitzondert van de bescherming betekent dit dat mogelijke wijzigingen door malware in de toekomst ook niet gedetecteerd worden.
- Open App-en browserbeheer via Windows-beveiliging (Defender op de taakbalk).
- Klik vervolgens op controleren voor een overzicht van de gevonden items.
- Selecteer hier de optie, verwijderen, quarantaine of toestaan op apparaat.
- Via de knop acties starten kunt u de keuze bevestigen.