Microsoft-Virenscanner ändern HOSTS-Datei eigenständig
Wer unter Windows 8 die HOSTS-Datei als Ad-Blocker nutzen will, wird eine Überraschung erleben: Die Einträge verschwinden wie von Geisterhand aus der Datei. Auch Facebook und Twitter kann man nicht blockieren.
- Ronald Eikenberg
Unter Windows 8 werden automatisch Einträge in der HOSTS-Datei für bestimmte Domains gelöscht. Versucht man etwa, Zugriffe auf Facebook.com, Twitter.com oder Anzeigenserver wie ad.doubleclick.net durch die Umleitung nach 127.0.0.1 ins Leere laufen zu lassen, verschwinden die Einträge nach kurzer Zeit wie von Geisterhand aus der HOSTS-Datei. Zurück bleibt nur eine leere Zeile. Bei anderen Domains wie heise.de tritt der Effekt hingegen nicht auf.
Hinter diesem Phänomen steckt das Virenschutzprogramm Windows Defender, das bei der neuen Windows-Version standardmäßig vorinstalliert und aktiv ist. Nach einem Blick in den Defender-Verlauf, den man über den Start-Bildschirm nach der Eingabe von "Defender" und einem Klick auf den Verlauf-Tab erreicht, wird die Ursache klar: Der Defender vermutet eine potenziell bösartige Manipulation der HOSTS-Datei und registriert dementsprechend "SettingsModifier:Win32/PossibleHostsFileHijack". Übrigens sorgen auch die Microsoft Security Essentials (MSE) bei älteren Windows-Versionen dafür, dass die Einträge für diese Domains zurückgesetzt werden. Das ist nicht weiter verwunderlich, ist doch Windows Defender unter Windows 8 im Wesentlichen nur eine neuer Name für die MSE.
Die fraglichen Einträge werden tatsächlich oft von Malware angelegt, um den Nutzer des infizierten Systems beim Besuch einer Seite wie Facebook.com auf einen anderen Server umzulenken. Dort könnte etwa eine Phishing-Variante der angeforderten Seite lauern, die eingegebene Zugangsdaten an Internet-Gauner schickt. Dass auch Einträge für Werbeserver entfernt werden, was von vielen Nutzern als einfacher, aber wirksamer Adblocker genutzt wird, dürfte daran liegen, dass auch Schädlinge die HOSTS-Datei nutzen, um Anfragen an seriöse Werbeanbieter an die eigenen Server umzulenken. Dadurch können die Betrüger eigene Werbebanner in fremde Webseiten einblenden.
Wer sich bevormundet fühlt und die HOSTS-Datei trotzdem für die betroffenen Domains nutzen möchte, kann seine HOSTS (c:\windows\system32\drivers\etc\hosts) zur Ausnahmeliste der MSE beziehungsweise des Windows Defender hinzufügen. Man findet den entsprechenden Punkt unter "Einstellungen, Ausgeschlossene Dateien und Speicherorte". Dadurch erkennt das Virenschutzprogramm im Ernstfall eine bösartige Veränderung der HOSTS-Datei allerdings nicht mehr.
(rei)
