0
(0)

El cliente antivirus nativo del sistema operativo Windows 10, Microsoft Defender, ha comenzado a marcar el archivo de hosts del sistema como malicioso si contiene redirecciones a ciertos servidores de Microsoft.

El archivo de hosts es un simple texto plano diseñado para redirigir las conexiones. Los usuarios lo encuentran en C:NWindowsNcontroladores del sistema32etc.hhosts en cualquier sistema y es bastante fácil redirigir las solicitudes. Se ha usado durante años para bloquear sitios maliciosos conocidos o sitios de publicidad.

Todo lo que hay que hacer es añadir redirecciones en forma de 127.0.0.1 www.microsoft.com al archivo de hosts para redirigir las solicitudes al sitio «www.microsoft.com», en este caso al ordenador local. El efecto es simple: la solicitud se bloquea.

Con el lanzamiento de Windows 10 vino un aumento en el uso del servidor de telemetría para bloquear el uso. Las herramientas de privacidad añadirían servidores de telemetría conocidos al archivo de hosts para bloquear las conexiones y así la transmisión de datos de telemetría a Microsoft.

A partir del 28 de julio de 2020, parece que Microsoft Defender está marcando los archivos de los hosts como maliciosos si contienen ciertas redirecciones. Según Günter Born, las siguientes versiones introdujeron el nuevo comportamiento:

  • Antimalware-Clientversion: 4.18.2006.10
  • Modulación: 1.1.17300.4
  • Versión del Antivireno: 1.321.144.0
  • Antispyware-Version: 1.321.144.0

Microsoft Defender Antivirus marca ciertos cambios en los archivos de los hosts como una amenaza. Un intento de añadir telemetría.microsoft.com y redirecciones de microsoft.com a 127.0.0.1 al archivo host hizo que Microsoft Defender marcara el archivo y restaurara la versión original.

archivo de hosts microsoft defensor

Los intentos de guardar el archivo pueden mostrar la siguiente notificación de Microsoft Defender:

La operación no se completó con éxito porque el archivo contiene un virus o un software potencialmente no deseado.

La restauración del archivo no restauró la lista. Lawrence Abrahams de Bleeping Computer hizo algunas pruebas y descubrió los siguientes servidores que Microsoft Defender marca cuando se agregan al archivo de hosts en los dispositivos de Windows 10.

www.microsoft.com
microsoft.com
telemetría.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetría.microsoft.com
watson.ppe.telemetría.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetría.remoteapp.windowsazure.com
telemetría.urs.microsoft.com

Es posible que otros servidores también sean vistos como una amenaza por el Microsoft Defender. Los usuarios de Windows 10 pueden permitir que la amenaza en el Microsoft Defender, al menos por ahora, añada estas redirecciones al archivo de nuevo. El problema con el enfoque es que permitirá todas las modificaciones, incluso las realizadas por software malicioso. Otra opción es desactivar Microsoft Defender y empezar a usar una solución de seguridad diferente para Windows.

Un falso positivo parece improbable considerando que la lista de servidores incluye mayormente servidores de telemetría.

Las herramientas de Windows 10 que añaden entradas al archivo de hosts pueden verse afectadas por esto negativamente. La mayoría de las herramientas de privacidad que manipulan el archivo de hosts para bloquear la telemetría seguramente no podrán agregar las entradas al archivo de hosts si Microsoft Defender es la solución antivirus residente.

Ahora tú…¿Utiliza Microsoft Defender u otra solución de seguridad en Windows?

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.