Windows Defender bemängelt Windows Hosts-Datei – Teil 2

[English]Unschöne Sache, wenn das alles so zutrifft bzw. aufgetreten ist. Es sieht so aus, als ob der Windows Defender mal wieder Amok gelaufen ist und die Windows-eigene hosts-Datei als schädlich betrachtet und als  HostFileHijack bemeckert. Aktuell ist mir aber unklar, ob es das Problem schon immer gab, oder ob es gerade einen 'Fehlalarm' in diesem Bereich gab.


Anzeige

Ich hatte die Tage erst den Beitrag Windows Defender markiert CCleaner als PUP – Teil 1 hier im Blog und gleich diesen Artikel als Teil 2 zur Nachfolge geplant – hat sich aber verzögert.

Ein Leserkommentar

Es war ein Leserkommentar von Blog-Leser Info hier im Kommentarbereich, der mich auf die Idee für diesen den Artikel brachte – vielleicht gibt es ja noch weitere Betroffene, denen dies aufgefallen ist. Der Leser schrieb etwas kryptisch:

[WINDOWS SICHERHEIT]
Das hat aber lang gedauert!

Seit 28.07.2020 erkennt der W10 Defender(Schnellprüfung) erst das Anpassen der "C:\Windows\System32\drivers\etc\hosts" Datei als "HostFileHijack"(Schwerwiegend).

Sehr alter Hut bei anderen Schutzprogrammen

Antimalware-Clientversion: 4.18.2006.10
Modulversion: 1.1.17300.4
Antiviren-Version: 1.321.144.0
Antispyware-Version: 1.321.144.0

und fügte noch als Ergänzung folgendes hinzu.

Da hat wohl erst jetzt jemand bemerkt das

Statistik
Telemetrie
Bing…

gewisser Clients nicht mehr zuverlässig ankommt…

Mit den letzten Ausführungen kann ich allerdings gar nichts anfangen – ich habe sie aber mal hier in den Beitrag kopiert, da ich alte Kommentare im Diskussionsbereich des Blogs sporadisch lösche.

Fundstelle im Internet

An dieser Stelle habe ich vor einigen Tagen mal etwas im Internet gesucht und bin auf reddit.com auf diesen wenige Tage alten Thread gestoßen.  Einem Benutzer war das Gleiche aufgefallen – denn er schreibt:

Wtf am I going to do…

For the first time since building this computer 7 years ago, I somehow got a virus. It was called HostFileHijack or something, Windows defense picked it up but was unable to remove it. I installed Zamena and it detected the virus and was able to remove it, but about 20 minutes later windows detected it again but Zamena didn't detect anything. It's seemingly disappeared from my computer for now but I don't trust it. Should I just go about my business or bite the bullet, back up 400GB of data and format?

Der betreffende Benutzer scheint also ein ähnliches Problem zu haben (wobei er wohl wirklich einen Virus hatte), der Defender meldet einen HostFileHijack-Befall, kann diesen aber nicht entfernen. Nach dem Entfernen mit anderer AV-Software kam wieder eine Meldung (wobei ich in diesem Fall das System eh als kompromittiert ansehe, das müsste neu aufgesetzt werden, da man nie weiß, ob alles an Schadfunktionen erkannt und entfernt wurde). Im Verlauf des Threads kommt dann aber der Hinweis von ESET Sicherheitsspezialist Aryeh Goretsky, dass

C:\Windows\System32\drivers\etc\hosts

schlicht eine Textdatei sei. Sofern da nichts böses enthalten ist, dürfte es ein Fehlalarm sein. Merkwürdig ist aber, dass der Defender die Datei erst jetzt bemeckert – was sich mit den obigen Leserbeobachtungen decken würde. Die Geschichte ist aber etwas merkwürdig.


Anzeige

Was ist HostFileHijack

Bei diesem Begriff wird man bei Microsoft in diesem Beitrag (und hier) fündig. Der Defender erkennt die Schadsoftware SettingsModifier:Win32/PossibleHostsFileHijack, ein Programm, dass Änderungen an der hosts-Datei auf einem Windows-System vornimmt. Dazu schreibt Microsoft:

Die Hosts-Datei wird von Ihrem Webbrowser verwendet, um herauszufinden, wohin bestimmte IP-Adressaufrufe umzuleiten sind. Bösartige oder unerwünschte Software kann diese Datei ändern, um Nutzer und Anwendungen davon abzuhalten, bestimmte Websites aufzurufen. Oder die Schadsoftware erzwingt stattdessen den Aufruf anderer Websites.

Microsoft gibt den Ratschlag: Wenn Sie die Hosts-Datei selbst geändert haben, müssen Sie sie von der Erkennung durch Ihre Antiviren-Software ausschließen. Tja, und das ist nun ein Problem: Habe ich Änderungen, knipse ich mit dieser Ausnahme den Defender in Bezug auf Überwachung der hosts-Datei aus. Schlägt eine Malware zu und manipuliert diese Datei, ist der Defender blind. Hier wäre es besser, wenn es im Defender einen Hash gäbe, der eine bestimmte Fassung der hosts von einer Prüfung ausnimmt. Ändert sich der Hash-Wert, wurde die hosts geändert, also sollte wieder Alarm geschlagen werden.

Es gibt diesen englischsprachigen Beitrag aus 2016, der das auch anspricht und empfiehlt, die hosts aus Ausnahme im Defender zu definieren, wenn man selbst Änderungen vorgenommen habe. Andernfalls gäbe es die Defender-Alarme.  Aber auch dort wird nicht erkannt, dass mit der Definition der Ausnahmen der Defender blind ist und eine bösartige Manipulation nicht mehr erkennt.

Irgend jemand von euch, der in dieses Problem gelaufen ist und was zusätzlich beitragen will/kann? Ich kann hier nur aufzeigen, was berichtet wird – hatte bisher aber noch nichts von diesem Verhalten gehört.

Feedback eines Nutzers

Ergänzung: Per E-Mail hat mir Blog-Leser Rolf (danke dafür) folgende Information zukommen lassen:

das Problem mit dem Defender und der Hostsdatei SettingsModifier:Win32/PossibleHostsFileHijack
besteht seit dem 28.7.2020.

Ich habe mir folgendermaßen geholfen: Erkennung durch den Defender ausgeschlossen und die Hostsdatei schreibgeschützt.

Es ist also wohl etwas am Thema dran. Nachtrag: Nach einer Diskussion mit mir hat Lawrence Abrams sich das Ganze nochmals vorgenommen und einige ergänzende Informationen auf Bleeping Computer veröffentlicht. Ich habe das Ganze mal in Teil 3 im Beitrag Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3 aufbereitet.

Ähnliche Artikel:
Windows Defender markiert CCleaner als PUP – Teil 1
Windows Defender löscht Windows Hosts-Datei – Teil 2
Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3
SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)
Microsoft Defender Antimalware Platform: Juni 2020 Update KB4052623 wirft Error 0x8024200B
Defender stufte fälschlich Winaero Tweaker als Hacker-Tool ein
Defender-Update KB4052623 killt Offline-Scan und mehr
Windows 10: Defender überspringt Elemente beim Scannen
Windows 10: Fix für übersprungene Defender Scans


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Windows Defender bemängelt Windows Hosts-Datei – Teil 2

  1. 1ST1 sagt:

    Es gab früher "Gute Sicherheitssoftware", gerne benutzt, welche die Hosts-Datei nutzte, um bekannte wirklich böse Adressen auf 127.0.0.1 umzubiegen. Spybot Search&Destroy war so ein Ding, sehr nützlich, hat mir mehrfach den Hals gerettet, ist aber seit den Adblockern etwas aus der Mode gekommen. Da waren in der Datei mal eben schnell 100.000 Einträge drin, die auf Localhost zeigten. Auch wer früher Photoshop benutzen wollte, ohne dafür zu bezahlen, konnte in der Hosts Datei diverse Adressen auf Localhost verbiegen, damit keine Lizenzprprüfung mehr erfolgte, weil die entsprechenden Adobe-Server nicht mehr erreichbar waren.

    Microsoft täte gut daran, den Inhalt der Hosts Datei mit bekannten IP-Adressem von Malware C&C-Servern etc. abzugleichen und eben wel know bad ones selbst da einzutragen, so wie Spybot das auch tut/tat. Ein Hash ist eher umständlich, weil man jedes Mal wenn man die Datei modifiziert, muss man immer neu hashen.

    • Günter Born sagt:

      Ich plädiere eher für 'weiter hashen' – die 'well known bad' Einträge könnten dazu führen, dass die hosts extrem groß wird – und schreiben auf die hosts wollen viele Nutzer auch nicht. Aber das Kernproblem: Trage ich als Benutzer selbst was in die hosts ein, würde das eventuell einen Alarm auslösen. Ergo bliebe nur die Ausnahme zu definieren. Ein Hash könnte vom Defender bei einem Alarm generiert werden – so in der Art: Oh, ich hab was erkannt, willst Du das ansehen? Und dann eine Option 'Ich habe was geändert, ist in Ordnung, fertige einen neuen Hash an'. So läuft es bei mir bei WordPress im Blog.

      • Martin Feuerstein sagt:

        AFAIK lässt sich die Hosts-Datei in Win10 nicht mehr direkt bearbeiten trotz erhöhter Rechte. Also muss die hosts-Datei umbenannt werden, z. B. in hosts2, bevor diese bearbeitet werden kann und anschließend der Name wieder in Hosts geändert werden.

        • Mark Heitbrink sagt:

          Das kann ich nicht bestätigen. Umbenennen oder editieren würde dieselben Rechte erfordern.
          Die hosts gehört nicht dem TrustedInstaller.

        • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

          Cmd oder powershell mit Administrator Rechten starten.
          Ins Verzeichnis navigieren und Notepad hosts ausführen.
          Alternativ Notepad oder Editor Bedarfsweise mit erhöhten Rechten ausführen.

      • Info sagt:

        Das System/Defender sollte einen Veränderungsversuch ständig erkennen. Eine Veränderung dann aber auch nach Berechtigung akzeptieren/autorisieren.

        Nicht nur während einer Prüfung.

  2. Al CiD sagt:

    Könnte man die Inhalte von "hosts" nicht generell in die Registry einbinden und diese ansonsten links liegen lassen?
    …es ist doch sonst jeder Krümel in der Registry 1000-fach verewigt…

    Oder übersehe ich da etwas im ersten Moment?

  3. Lin Gi sagt:

    Als Nutzer des Tools W10Privacy von Bernd Schuster bin ich ebenfalls betroffen.
    Beim Versuch Telemetriedaten über die hosts zu blocken, schlägt der Defender an – reproduzierbar.

  4. Bernard sagt:

    Schon gemein.

    Da wird ein Antivirenprogramm genutzt, um die Telemetrie aktiv freizuschalten…

    Aber die Fanboys werden sicher bald aufkreuzen.

  5. Herr IngoW sagt:

    Ich habe die "hosts"-Datei auch mal geändert. Bei mir meckert der Defender nicht über diese Datei, auch nicht beim direkten scann im Explorer.
    Es wurden/werden nur Internet-Seiten auf die Adresse "127.0.0.1" umgeleitet (zB. 127.0.0.1 coinhive.com).
    Die Änderungen wurden mit dem Programm "HostsMan" von dieser Seite: "www.abelhadigital.com/hostsman/" gemacht.
    Die Seite geht leider nur noch mit "http://", bei "https" wird "nicht privat angezeigt. (Das Zertifikat wird als gültig angezeigt, vom 15.06.2020 bis 03.08.2021 von *netlify.com)

  6. Georg sagt:

    In diesem Beitrag wird das als "normales" Verhalten beschrieben:

    https://answers.microsoft.com/en-us/protect/forum/all/settingsmodifierwin32hostsfilehijack/dab53827-1226-46ee-95a7-3e8e78a49f11?page=2

    Für betroffene Benutzer/Rechner gilt:
    "Nothing is wrong except that you don't prefer to operate Windows in the manner that the developer Microsoft intended."

  7. Info sagt:

    [HOSTFILEHIJACK]
    Ich verwende seit Jahrzehnten auf Rechnern angepasste HOSTS-Dateien!

    ◾Seit 7 Monaten/Privat auf "einem" W10/1909.
    ◾Seit dem erstmals mit Windows-Defender.
    ◾Seit 28.07 kommt erstmals die HostFileHiJack Meldung.
    ◾Neues Modul oder …Versionen?!.

    Hier ist die Suche nur lokal konfiguriert über
    ◾[BingSearchEnabled "0"] oder [DisableSearchBoxSuggestions "1"]
    ◾"bing.com", "www.msn.com" zu "127.0.0.1" definiert.
    ◾diverses zu "127.0.0.1" definiert.
    ◾verringert erheblich das permanente Datenvolumen

    Jedes aufrufen von Start/Einstellungen und den Seiten erzeugen diverse
    DNS Zugriffe. Das Microsoft es nicht passt das "searchUI.exe", "svchost.exe" und "systemsettings.exe und…und… "nicht permanent" auch Echtzeit-Daten über die Verwendung senden können – ist anzunehmen. Ich gehe davon aus das die permanente System-Diagnostic, vor allem der Home-Versionen, Sie vermutlich erst jetzt auf diese Test-Prozedur gebracht haben – aber man kann es ja zulassen wenn mann weiß was man tut.

    ◾Microsoft – Ihr solltet den einfachen Änderungsversuch durch den Echzeit-Guard darauf ansetzen – egal mit welcher Berechtigung, ob schreibgeschützt oder nicht – unabhängig von einer einmaligen Berechtigung!
    ◾So hat es beispielsweise Avira schon seit Jahrzenten vollzogen.

    [ES IST SO UND NICHT NEU]
    ◾Das Verbiegen von Domainnamen auf "127.0.0.1" über die HOSTS führt mit großer Sicherheit bereits auf Betriebssystemebene, ab dem Systemstart, dazu das eben kein Zugriff auf diese Domainnamen möglich ist! Das bereits bevor Proxys(mit Blocker-Listen – lokal/extern) oder Browser-ADBlocker aktiv sind.

    (Bei Änderung der HOSTS im Betrieb muss eine Verbindung beendet werden, warten… und ein bis … mal "ipconfig /flushdns" verwendet werden. Bevor Windows "svchost.exe..xxx… dnscache…(W10)" auch wirklich vergisst.).

    ◾Wenn ein Programm aber bereits die "IP"(eines entsprechenden Domainnamen) im Programmcode enthalten hat muss die IP über eine Firewall geblockt werden – sonst nutzt das Ganze in der HOSTS auf "127.0.0.1" nichts.

    "Beim Browsen" gibt es dann noch den nächsten Übeltäter über "JavaScript" und der Verbindung mit entsprechenden Servern(bekannte DNS-Anbieter…) die dem System die IP beibiegen und sämtliche lokale AD-Blocker oder Proxy-Blocklisten dadurch umgehen.

    [WARUM TUT MAN SO ETWAS?]
    ◾Weil man die Datenübertragung des Betriebssystems oder jeglicher Programme, die nichts mit der gewünschten Funktion zu tun haben, unterbinden will. Auto-Update, grundsätzliche "Hallo ich bin hier Verbindungen", usw…

    Auf meinem privaten 24/7 online Rechnern wird zudem jedes neue Programm früher oder später(oder schon vor Erststart über die Windows-Firewall/Programm… testweise gesperrt) auf die Netzwerkzugriffe geprüft.

    Wenn hier ein Programm online nichts zu suchen hat werden Programmzugriffe grundsätzlich dauerhaft über Programm-Firewall Regeln deaktiviert- als Vorsorge(das sollte man dann auch für jegliche ".exe", ".com", "Dienste" des entsprechenden Programmverzeichnisses tun). So kann man die Windows-Firewall auch grundsätzlich für Überwachung ausgehender Verbindungen nützlich verwenden.

    [NUN IST ES WIEDER EINMAL ZEIT]
    Jetzt wisst Ihr auch warum Microsoft W10 "WaaS" erfunden hat um letztendlich alle 6-…Monate? das System platt zu machen – damit es wieder nach Ihren Voraussetzungen läuft. Was für ein Sch$%§ß!

    ————————————–

    Das diese kurzgehalten Ausführungen nicht unbedingt für Unternehmensumgebungen/Normal-User gedacht ist mir bewusst. 💤

  8. Mark Heitbrink sagt:

    Da ich es testen wollte habe ich durch die Fehlerprovokation, "notepad hosts", meine hosts Datei resettet. Sie ist wieder Microsoft Original.

  9. red++ sagt:

    Hier https://www.sordum.org/8266/bluelifehosts-editor-v1-3/ gibts auch ein nettes Tool um die Hosts Datei zu editieren, und bei mir stehen da auch rund 200 Einträge drinnen die ich blockiert habe und bei mir Meckert auch kein Defender deswegen.

  10. Kalle sagt:

    War bei mir auch der Fall; die Lösung einfach, aber kurios: der Defender mochte das Wort "SPY" nicht und hat daher die Hosts immer resettet.

    Hintergrund: ich trage händisch die Domains des Projekts WindowsSpyBlocker in die Hosts ein und trenne die verschiedenen Bereiche, daher das #SPY für die entsprechenden Domains.

    Alles war wieder schön, als ich das "#SPY" raus genommen hatte.

Schreibe einen Kommentar zu Herr IngoW Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.