{"id":234064,"date":"2020-08-03T10:23:29","date_gmt":"2020-08-03T08:23:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234064"},"modified":"2022-03-21T17:28:01","modified_gmt":"2022-03-21T16:28:01","slug":"windows-defender-lscht-windows-hosts-datei-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/03\/windows-defender-lscht-windows-hosts-datei-teil-2\/","title":{"rendered":"Windows Defender bemängelt Windows Hosts-Datei – Teil 2"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Sache, wenn das alles so zutrifft bzw. aufgetreten ist. Es sieht so aus, als ob der Windows Defender mal wieder Amok gelaufen ist und die Windows-eigene hosts<\/em>-Datei als sch\u00e4dlich betrachtet und als\u00a0 HostFileHijack bemeckert. Aktuell ist mir aber unklar, ob es das Problem schon immer gab, oder ob es gerade einen 'Fehlalarm' in diesem Bereich gab.<\/p>\n

<\/p>\n

\"\"Ich hatte die Tage erst den Beitrag Windows Defender markiert CCleaner als PUP \u2013 Teil 1<\/a> hier im Blog und gleich diesen Artikel als Teil 2 zur Nachfolge geplant – hat sich aber verz\u00f6gert.<\/p>\n

Ein Leserkommentar<\/h2>\n

Es war ein Leserkommentar von Blog-Leser Info hier im Kommentarbereich, der mich auf die Idee f\u00fcr diesen den Artikel brachte – vielleicht gibt es ja noch weitere Betroffene, denen dies aufgefallen ist. Der Leser schrieb etwas kryptisch:<\/p>\n

[WINDOWS SICHERHEIT]<\/strong>
\nDas hat aber lang gedauert!<\/p>\n

Seit 28.07.2020 erkennt der W10 Defender(Schnellpr\u00fcfung<\/strong>) erst das Anpassen der \"C:\\Windows\\System32\\drivers\\etc\\hosts<\/strong>\" Datei als \"HostFileHijack<\/strong>\"(Schwerwiegend).<\/p>\n

Sehr alter Hut bei anderen Schutzprogrammen<\/p>\n

Antimalware-Clientversion: 4.18.2006.10
\nModulversion: 1.1.17300.4
\nAntiviren-Version: 1.321.144.0
\nAntispyware-Version: 1.321.144.0<\/p><\/blockquote>\n

und f\u00fcgte noch als Erg\u00e4nzung folgendes hinzu.<\/p>\n

Da hat wohl erst jetzt jemand bemerkt das<\/p>\n

Statistik
\nTelemetrie
\nBing\u2026<\/p>\n

gewisser Clients nicht mehr zuverl\u00e4ssig ankommt\u2026<\/p><\/blockquote>\n

Mit den letzten Ausf\u00fchrungen kann ich allerdings gar nichts anfangen – ich habe sie aber mal hier in den Beitrag kopiert, da ich alte Kommentare im Diskussionsbereich des Blogs sporadisch l\u00f6sche.<\/p>\n

Fundstelle im Internet<\/h2>\n

An dieser Stelle habe ich vor einigen Tagen mal etwas im Internet gesucht und bin auf reddit.com auf diesen wenige Tage alten Thread<\/a> gesto\u00dfen.\u00a0 Einem Benutzer war das Gleiche aufgefallen – denn er schreibt:<\/p>\n

Wtf am I going to do…<\/p>\n

\"\"For the first time since building this computer 7 years ago, I somehow got a virus. It was called HostFileHijack or something, Windows defense picked it up but was unable to remove it. I installed Zamena and it detected the virus and was able to remove it, but about 20 minutes later windows detected it again but Zamena didn't detect anything. It's seemingly disappeared from my computer for now but I don't trust it. Should I just go about my business or bite the bullet, back up 400GB of data and format?<\/p><\/blockquote>\n

Der betreffende Benutzer scheint also ein \u00e4hnliches Problem zu haben (wobei er wohl wirklich einen Virus hatte), der Defender meldet einen HostFileHijack-Befall, kann diesen aber nicht entfernen. Nach dem Entfernen mit anderer AV-Software kam wieder eine Meldung (wobei ich in diesem Fall das System eh als kompromittiert ansehe, das m\u00fcsste neu aufgesetzt werden, da man nie wei\u00df, ob alles an Schadfunktionen erkannt und entfernt wurde). Im Verlauf des Threads kommt dann aber der Hinweis von ESET Sicherheitsspezialist Aryeh Goretsky, dass<\/p>\n

C:\\Windows\\System32\\drivers\\etc\\hosts<\/strong><\/p>\n

schlicht eine Textdatei sei. Sofern da nichts b\u00f6ses enthalten ist, d\u00fcrfte es ein Fehlalarm sein. Merkw\u00fcrdig ist aber, dass der Defender die Datei erst jetzt bemeckert – was sich mit den obigen Leserbeobachtungen decken w\u00fcrde. Die Geschichte ist aber etwas merkw\u00fcrdig.<\/p>\n

Was ist HostFileHijack<\/h2>\n

Bei diesem Begriff wird man bei Microsoft in diesem Beitrag<\/a> (und hier<\/a>) f\u00fcndig. Der Defender erkennt die Schadsoftware SettingsModifier:Win32\/PossibleHostsFileHijack<\/em>, ein Programm, dass \u00c4nderungen an der hosts<\/em>-Datei auf einem Windows-System vornimmt. Dazu schreibt Microsoft:<\/p>\n

Die Hosts-Datei wird von Ihrem Webbrowser verwendet, um herauszufinden, wohin bestimmte IP-Adressaufrufe umzuleiten sind. B\u00f6sartige oder unerw\u00fcnschte Software kann diese Datei \u00e4ndern, um Nutzer und Anwendungen davon abzuhalten, bestimmte Websites aufzurufen. Oder die Schadsoftware erzwingt stattdessen den Aufruf anderer Websites.<\/p><\/blockquote>\n

Microsoft gibt den Ratschlag: Wenn Sie die Hosts-Datei selbst ge\u00e4ndert haben, m\u00fcssen Sie sie von der Erkennung durch Ihre Antiviren-Software ausschlie\u00dfen. Tja, und das ist nun ein Problem: Habe ich \u00c4nderungen, knipse ich mit dieser Ausnahme den Defender in Bezug auf \u00dcberwachung der hosts<\/em>-Datei aus. Schl\u00e4gt eine Malware zu und manipuliert diese Datei, ist der Defender blind. Hier w\u00e4re es besser, wenn es im Defender einen Hash g\u00e4be, der eine bestimmte Fassung der hosts von einer Pr\u00fcfung ausnimmt. \u00c4ndert sich der Hash-Wert, wurde die hosts <\/em>ge\u00e4ndert, also sollte wieder Alarm geschlagen werden.<\/p>\n

Es gibt diesen englischsprachigen Beitrag<\/a> aus 2016, der das auch anspricht und empfiehlt, die hosts aus Ausnahme im Defender zu definieren, wenn man selbst \u00c4nderungen vorgenommen habe. Andernfalls g\u00e4be es die Defender-Alarme.\u00a0 Aber auch dort wird nicht erkannt, dass mit der Definition der Ausnahmen der Defender blind ist und eine b\u00f6sartige Manipulation nicht mehr erkennt.<\/p><\/blockquote>\n

Irgend jemand von euch, der in dieses Problem gelaufen ist und was zus\u00e4tzlich beitragen will\/kann? Ich kann hier nur aufzeigen, was berichtet wird – hatte bisher aber noch nichts von diesem Verhalten geh\u00f6rt.<\/p>\n

Feedback eines Nutzers<\/h2>\n

Erg\u00e4nzung: Per E-Mail hat mir Blog-Leser Rolf (danke daf\u00fcr) folgende Information zukommen lassen:<\/p>\n

das Problem mit dem Defender und der Hostsdatei SettingsModifier:Win32\/PossibleHostsFileHijack
\nbesteht seit dem 28.7.2020.<\/p>\n

Ich habe mir folgenderma\u00dfen geholfen: Erkennung durch den Defender ausgeschlossen und die Hostsdatei schreibgesch\u00fctzt.<\/p><\/blockquote>\n

Es ist also wohl etwas am Thema dran. Nachtrag:<\/strong> Nach einer Diskussion mit mir hat Lawrence Abrams sich das Ganze nochmals vorgenommen und einige erg\u00e4nzende Informationen auf Bleeping Computer<\/a> ver\u00f6ffentlicht. Ich habe das Ganze mal in Teil 3 im Beitrag Defender blockt hosts-Eintr\u00e4ge mit Umleitungen von Microsoft-Seiten \u2013 Teil 3<\/a> aufbereitet.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows Defender markiert CCleaner als PUP \u2013 Teil 1<\/a>
\nWindows Defender l\u00f6scht Windows Hosts-Datei – Teil 2<\/a>
\nDefender blockt hosts-Eintr\u00e4ge mit Umleitungen von Microsoft-Seiten \u2013 Teil 3<\/a>
\nSCEP\/MSE\/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)<\/a>
\nMicrosoft Defender Antimalware Platform: Juni 2020 Update KB4052623 wirft Error 0x8024200B<\/a>
\nDefender stufte f\u00e4lschlich Winaero Tweaker als Hacker-Tool ein<\/a>
\nDefender-Update KB4052623 killt Offline-Scan und mehr<\/a>
\nWindows 10: Defender \u00fcberspringt Elemente beim Scannen<\/a>
\nWindows 10: Fix f\u00fcr \u00fcbersprungene Defender Scans<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Sache, wenn das alles so zutrifft bzw. aufgetreten ist. Es sieht so aus, als ob der Windows Defender mal wieder Amok gelaufen ist und die Windows-eigene hosts-Datei als sch\u00e4dlich betrachtet und als\u00a0 HostFileHijack bemeckert. Aktuell ist mir aber unklar, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[2699,4313,3288],"class_list":["post-234064","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-defender","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234064","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234064"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234064\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234064"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234064"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234064"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}