Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если в там прописаны блокировки для серверов телеметрии ОС. Антивирусная программа Microsoft Defender и ранее классифицировать инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности. В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС. Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку: После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»: (www).microsoft.com; microsoft.com; telemetry.microsoft.com; wns.notify.windows.com.akadns.net; v10-win.vortex.data.microsoft.com.akadns.net; us.vortex-win.data.microsoft.com; us-v10.events.data.microsoft.com; urs.microsoft.com.nsatc.net; watson.telemetry.microsoft.com; watson.ppe.telemetry.microsoft.com; vsgallery.com; watson.live.com; watson.microsoft.com; telemetry.remoteapp.windowsazure.com; telemetry.urs.microsoft.com. Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты. Источник: https://habr.com/ru/news/t/513934/