Die Textdatei c:\windows\system32\drivers\etc\hosts, hat eine einfache Aufgabe: In ihr lassen sich Namen für IP-Adressen hinterlegen. Die Namensauflösung von Windows konsultiert neben den DNS-Servern auch auf diese Datei, wenn ein Netzwerkdienst die Adresse für einen Host ermitteln will.

In den vergangenen Jahren hat sich gern Malware an der Datei zu schaffen gemacht. Die Malwares hab zum Beispiel Adressen eigener Server hinterlassen, um Zugriffe auf Update-Server zu bösartigen Angeboten umzuleiten, oder sie haben Adressen wie 127.0.0.1 oder 0.0.0.0 eingetragen, die Zugriffe ins Leere laufen lässt (genauer: ans lokale System oder eine ungültige Adresse richten). Deshab achten Sicherheits-Software schon länger auf Änderungen an der Datei.

Ende Juli häuften sich im Blog "borncity" die Leserhinweise, dass die hosts-Datei von Microsofts mit Windows mitgeliefertem Anti-Malware Tool Defender als "HostFileHijack" eingestuft wurde. Die Gemeinsamkeit war, dass dort Microsoft-Adressen standen. Mit der Version 1909 von Windows 10 ließ sich dies reproduzieren: Sobald eine Eintragung vorgenommen wird, die microsoft.com, windows.com, live.com, vsgallery.com oder windowsazure.com enthalten oder darauf endet, ruft das den Defender auf den Plan. Das Anti-Malware Tool ersetzt dann die Datei durch die mit Windows gelieferte Standardversion. Bei der Version 2004 verhält es sich ähnlich. Eine Äußerung seitens Microsoft gibt es noch nicht.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE