Microsoft Defender marca los archivos con la redirección del servidor de Microsoft como maliciosos

El propio cliente antivirus de Windows 10, Microsoft Defender, ha comenzado a marcar los hosts como maliciosos si contienen redireccionamientos a servidores específicos de Microsoft.

El archivo de hosts es texto sin formato que se utiliza para redirigir las conexiones. Los usuarios lo encuentran en C:WindowsSystem32driversetchosts en cualquier sistema, y ​​es fácil redirigir las solicitudes. Se ha utilizado durante siglos para bloquear sitios maliciosos conocidos o sitios publicitarios.

Todo lo que necesita hacer es agregar la redirección como 127.0.0.1 www.microsoft.com al archivo de hosts para redirigir las solicitudes al sitio "www.microsoft.com", en este caso a la computadora local. El efecto es simple: la solicitud se bloquea.

Con el lanzamiento de Windows 10, ha aumentado el uso de bloqueos de servidores de telemetría. Las herramientas de privacidad agregarán servidores de telemetría conocidos al archivo de hosts para bloquear conexiones y así transmitir datos de telemetría a Microsoft.

A partir del 28 de julio de 2020, Microsoft Defender parece marcar los archivos host como maliciosos si contienen ciertos redireccionamientos. Según Gunther Bourne, las siguientes versiones introdujeron nuevos comportamientos:

  • Versión antimalware del cliente: 4.18.2006.10
  • Versión modular: 1.1.17300.4
  • Versión antivirus: 1.321.144.0
  • Versión antispyware: 1,321,144.0

Microsoft Defender Antivirus identifica algunos cambios en los archivos del host como una amenaza. Un intento de agregar telemetry.microsoft.com y microsoft.com redireccionando a 127.0.0.1 al archivo de hosts resultó en que Microsoft Defender etiquetara el archivo y restaurara la versión original.

Host archivo microsoft defender

Cuando intenta guardar un archivo, puede recibir la siguiente notificación de Microsoft Defender:

La operación no se completó correctamente porque el archivo contiene un virus o software potencialmente no deseado.

La recuperación de archivos no restauró la lista. Lawrence Abrahams de Bleeping Computer realizó varias pruebas y encontró los siguientes servidores, que Microsoft Defender identifica cuando se agregan al archivo de hosts en dispositivos con Windows 10.

www.microsoft.com
microsoft.com
telemetría.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.Eventos.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetría.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetría.urs.microsoft.com

Quizás Microsoft Defender vea a otros servidores como una amenaza. Los usuarios de Windows 10 pueden permitir que una amenaza en Microsoft Defender, al menos por ahora, vuelva a agregar estos redireccionamientos al archivo. El problema con este enfoque es que te permite hacer todas las modificaciones, incluso usando malware. Otra opción es deshabilitar Microsoft Defender y comenzar a usar otra solución de seguridad para Windows.

La operación falsa parece poco probable dado que la lista de servidores incluye principalmente servidores de telemetría.

Esto puede afectar negativamente a las herramientas de Windows 10 que agregan entradas al archivo de hosts. La mayoría de las herramientas de privacidad que manipulan archivos de host para bloquear la telemetría ciertamente no podrán agregar entradas al archivo de hosts si Microsoft Defender es una solución antivirus residente.

Ahora tu: ¿Está utilizando Microsoft Defender u otra solución de seguridad en Windows?

Artículos de interés

Subir