Kuidas vabaneda SeadeSModifierwin32/Hostsfilehijack teade

Microsofti mure oma opsüsteemi turvalisuse pärast on mõistetav: suurimas tarkvaraettevõttes otsustasid nad, et ei tasu usaldada arvuti kaitset kolmandale osapoolele, kes on spetsialiseerunud viirusevastasele tarkvarale. Paraku, Windowsi kaitsja, kes võtab vastu neid kohustusi, samas kui ohtudega toimetulekut ei tohi liiga hästi hakkama saada. Jah, iga värskendusega muutub see paremaks, kuid samal ajal intensiivistub selline funktsioon nagu kahtlus. Ja paljudele kasutajatele see üldse ei meeldi.

Täna räägime SeadeSModifieri veast: Win32/Hostsfilehijack, mille on välja andnud Microsoft Defender, mis on otseselt seotud ülaltooduga.

Mis see oht on

Arvuti terminoloogias on sõna kaaperdatud viiruse tarkvaraga, mille eesmärk on kasutada kontrolli kasutaja arvutit kõige ebameeldivamate eesmärkidega. Näiteks reklaamide kuvamiseks või arvuti omaniku tegevuse jälgimiseks või isegi selleks, et varastada konfidentsiaalset teavet, sealhulgas rahalist teavet.

Seega, kui kasutaja näeb oma monitori ekraanil Seadistuse SeadeSModifier: Win32/Hostsfilehijack, kahtlustab ta üsna mõistlikult, et korjas viiruse üles. Ja hakkab otsima teavet selle pahatahtlikust koodist vabanemise kohta. Ja väga kiiresti on ta veendunud, et tõenäoliselt on ta ise sellise vea ilmumise süüdlane.

Selgub, et Windows 10 Defender reageerib nii omapärasel viisil Microsofti telemeetria lahtiühendamiseks, mis on tehtud, blokeerides juurdepääsu tervele saitidele omaette ja mõnele muule domeenile. Sellised sõnumid on muutunud sagedasemaks alates 2020. aasta juuli lõpust, kui asjakohased muudatused rakendati opsüsteemi järgmise värskenduse kaudu.

Kuid võõrustajate Microsofti kaitsja faili sisu muutus ja enne seda ning mõistlikult klassifitseeritud toiminguid ohuks. Need viirused, näiteks Kaspersky antivirus (Trooja, jälgivad seda hostifaili nakatumismeetodit.Win32.Qhost) või McAfee, milles seda ohtu nimetatakse Qhostsiks.APD.

Kuid kui hostide faili uute liinide lisamine oli varem tegelike ohtude kättesaadavuse analüüsi objekt, siis nüüd "kirub" kasutajatoiminguid, mille eesmärk on blokeerida juurdepääs opsüsteemilt.

Mis see fail on ja mis on selle omadused?

See on enamikus opsüsteemides, sealhulgas Microsoftil, alustades XP versioonist. Selle asukoha koht on muutumatu, see on kataloog C: \ Windows \ System32 \ draiverid \ etc \ etc \. Fail ise viitab süsteemile, st selle redigeerimiseks peab teil olema administraatori õigused. See on tavaline tekstifail, kuhu on lisatud sümboolse vormi saitide aadressid ja see on valmistatud vastavalt digitaalsele IP -aadressile. Selliste toimingute tähendus saab selgeks, kui teate, et kõigepealt töödeldakse hoste, ja ainult siis suunab opsüsteem päringu domeeninimede süsteemi abil, see tähendab DNS -i abil. Kõige ilmsem viis faili kasutamiseks on blokeerida juurdepääs teatud saitidele, mida on võimalik saavutada, kui nad panevad need kooskõla kohaliku IP -aadressiga 127.0.0.1 või mitte eksisteeriv 0.0.0.0.

Kuid viirused kasutavad seda funktsiooni ka, viies read hostidele, võimaldades meil suunata kasutaja valele saidile, mille ta hindus aadressiribal, see tähendab, et muuta kaval ümbersuunamine.

Nii et selle faili sisu jälgimine on tõesti vajalik töö. Kuid meie puhul pidas Windows ohuks katse blokeerida juurdepääs Microsoftile kuuluvate serverite juurde ja jälgida telemeetriat HOSTS -faili redigeerimise tasemel.

Probleemi ei leitud kohe, kuid peagi sai selgeks, et hoiatussätted: Win32/Hostsfilehijack ilmub siis, kui kasutajal on keelatud juurdepääs tarkvarahiiglase piisavalt suurele domeenide ja alamdomeenide loendile:

Ehkki sõnum väidab, et ohu tase on kriitiline, pole see muidugi tõsi, kuna kasutajad võtavad selliseid toiminguid omal eesmärgil: mitte lubada nende tegevust, isegi kui seda tehakse kõige rohkem kaalutletud kavatsused. Mis enamus muidugi kahtleb.

Mida teha, kui ilmub teade

Kui ilmub teade ohu kohta, kutsutakse teid samal ajal valima ühe kolmest võimalikust stsenaariumist (see on tavaline vastus Windows Defenderile sarnastele olukordadele):

• Kustutama.
• Koht karantiinis.
• Luba seadet.

Kui valite esimese valiku, siis kui viirus tuvastatakse, proovib kaitsja seda eemaldada. Meie puhul taastab ta lihtsalt hostide faili olekule, mis tal kohe pärast Windowsi installimist oli, see tähendab, et kõik teie lisatud kirjed kustutatakse. Sealhulgas need, mis blokeerisid telemeetriat.

"Karantiinis asuva koha" valimisel liigub nakatunud fail spetsiaalsesse kohta, kus see ei suuda tegevust näidata. Kuid kuna meil on fail, mida opsüsteem vajab, taastatakse see jälle vaikimisi olekusse.

Valides "lubage", palute kaitsjal jätta kõik sellisena, nagu see on. See tähendab, et ei tee midagi hostide failiga, mille valitsesite vastavalt oma veendumustele.

Kui olete valinud kolmanda valiku, olge valmis tõsiasjaks, et see teade ilmub uuesti. Kuidas viga eemaldada? Ainult Microsofti saitide blokeerimise tühistamine. Kuigi on olemas alternatiivne lahendus: üldiselt loobuge kaitsja kasutamisest, kuid me ei nõusta seda võimalust. Isegi kui teil on hea viirusetõrjetarkvara, mis on teid aastaid truult teeninud.