Windows Defender zensiert hosts-Datei
Seit Ende Juli stuft der Defender Einträge zu Microsoft-Servern in der Windows-eigenen hosts-Datei als schädlich ein – Telemetrieallergiker ärgert das.
Die simple Textdatei, die seit Urzeiten als c:\windows\system32\drivers\etc\hosts in den Windows-Eingeweiden liegt, hat eine einfache Aufgabe: Dort lassen sich Namen für IP-Adressen hinterlegen; sie stammt noch aus Zeiten, als vom Domain Name System noch keine Rede war. Unter anderem die Namensauflösung von Windows konsultiert aber neben den DNS-Servern auch heutzutage die Datei, wenn ein Netzwerkdienst die Adresse für einen Host ermitteln will. Das kann ein klassisch funktionierender Web-Browser sein, der nach "heise.de" sucht, aber auch der Windows-eigene Dateimanager Explorer, der für "meinnas" die IP-Adresse braucht.
An der Datei hat sich in den vergangenen Jahren gern Malware zu schaffen gemacht. Sie hat dort Adressen eigener Server hinterlassen, um Zugriffe auf Update-Server zu bösartigen Angeboten umzuleiten, oder sie hat Adressen wie 127.0.0.1 oder 0.0.0.0 eingetragen, die Zugriffe ins Leere laufen lassen (genauer: ans lokale System oder eine ungültige Adresse richten). Sicherheits-Software achtet deshalb schon länger auf Änderungen an der Datei. Auch mancher eher zweifelhafte Windows-Tipp rankt um die Datei: So tragen Nutzer dort die Namen der Windows-Telemetrie-Server ein, um diese Daten nicht bei Microsoft abzuliefern.
Übergriffiger Defender
Im Blog des Autors häuften sich Ende Juli Leserhinweise, dass die hosts-Datei von Microsofts mit Windows mitgeliefertem Anti-Malware Tool Defender als "HostFileHijack" eingestuft wurde. Die Gemeinsamkeit war, dass dort Microsoft-Adressen standen. Mit Windows 10 Version 1909 ließ sich das reproduzieren: Sobald man dort Eintragungen vornahm, die microsoft.com, windows.com, live.com, vsgallery.com oder windowsazure.com enthalten oder darauf enden, ruft das den Defender auf den Plan. Er ersetzt die Datei durch die mit Windows gelieferte Standardversion. Ähnlich verhält sich auch Version 2004.
Wer partout in hosts-Datei Adressen für Server eintragen will, die den Defender auf den Plan rufen, muss die Datei von seiner Überwachung ausnehmen, verliert dann aber auch den Schutz vor Manipulation durch Schädlinge. Microsoft hat sich bisher nicht zu den Aktivitäten des Defenders geäußert.
tipps+tricks zum Thema:
(ps)