Microsoft Defender meldt ten onrechte dat u geïnfecteerd bent als u Microsoft-telemetrie en advertenties probeert te blokkeren

Wat u moet weten

SettingsModifier: Win32 / HostsFileHijack

Deze detectie signaleert verdachte wijzigingen aan het Windows- hosts- bestand, met name vermeldingen voor bepaalde domeinen die worden gebruikt door het besturingssysteem en kritieke services. Windows gebruikt de hosts- bestanden om domeinen naar IP-adressen om te zetten tijdens netwerkcommunicatie, zodat kwaadwillende wijzigingen legitieme netwerkverbindingen kunnen voorkomen, zoals updates en certificaatcontroles, of kunnen resulteren in onveilige en mogelijk schadelijke verbindingen.

Het knoeien met hostbestanden is een veelgebruikte techniek voor malware of aanvallers die wordt gebruikt om netwerkverbindingen te voorkomen of om te leiden. Een aanvaller kan het bestand wijzigen om legitieme verbindingen te blokkeren of netwerkverkeer om te leiden naar een bestemming die wordt beheerd door de aanvaller, wat resulteert in het downloaden van extra malware of andere kwaadaardige activiteiten.

Bedreigingsgedrag

Deze activiteit resulteert in de wijziging of toevoeging van vermeldingen in het Windows Hosts- bestand, specifiek voor belangrijke domeinen die worden gebruikt door het besturingssysteem en kritieke services. Dit kan duiden op een poging om legitieme netwerkverbindingen te blokkeren of verbindingen om te leiden naar de infrastructuur van de aanvaller en om malware te downloaden of andere kwaadaardige activiteiten uit te voeren.

Het Windows hosts- bestand bevindt zich op % windir% \ system32 \ drivers \ etc \ hosts.

Het zelf bewerken van uw host bestand is een manier om Microsoft-telemetrie en door Microsoft geleverde advertenties op Windows te blokkeren, en het blijkt dat Microsoft er niet zo blij mee is.

De nieuwste versies van Microsoft Defender voor Windows 10 kunnen detecteren of u vermeldingen toevoegt aan uw host bestand waardoor de servers van Microsoft zouden worden geblokkeerd en u zou weigeren het bestand op te slaan, omdat het een ernstig beveiligingsrisico vormt.

In feite zal Microsoft Defender beweren dat u besmet bent met “SettingsModifier: Win32 / HostsFileHijack,” waarvan een Google-zoekopdracht onthult dat verschillende gebruikers in paniek zijn geraakt en denken dat ze een virus hebben.

Ik heb geen Malwarebytes geïnstalleerd, alleen Windows Security Defender klaagt over SettingsModifier: Win32 / HostsFileHijack. Ik weet ook niet of het gerelateerd is of niet, maar ik kreeg de pop-up direct na het starten van het spel SUPERHOT MIND CONTROL DELETE. Ik weet eigenlijk wat het HOST-bestand is (een hoop DNS-naar-IP-forwarding), dus ik was benieuwd hoe de infectie het veranderde, wat me informatie kon geven over wat er mis is. Dus ik “stond” de dreiging toe via Windows Defender en vreemd genoeg bleef het bestand hetzelfde (met alleen de standaard 127.0.0.1 en :: 1 voor localhost-regels). Ik vroeg het toen om de dreiging opnieuw te “opschonen”, en de inhoud van het HOST-bestand veranderde nooit.

Nu Microsoft Defender zich steeds dieper in Windows verweven heeft, doet het ons denken aan de vraag wie de pc die u gebruikt daadwerkelijk bestuurt (?).

Een nieuwe functie van Windows Defender baart beveiligingsonderzoekers zorgen

Wat u moet weten

Een LoLBin is een binair bestand dat door het besturingssysteem wordt geleverd en dat normaal gesproken voor legitieme doeleinden wordt gebruikt, maar ook kan worden misbruikt door kwaadwillende actoren. Verschillende standaard systeem binaire bestanden hebben onverwachte bijwerkingen, waardoor aanvallers hun activiteiten na uitbuiting kunnen verbergen.

In één van de laatste updates van de Microsoft Defender-antivirusoplossing van Windows 10 stelt het ironisch genoeg in staat om malware en andere bestanden naar een Windows-computer te downloaden.

Legitieme besturingssysteembestanden die voor kwaadwillende doeleinden kunnen worden misbruikt, staan ​​bekend als binaire bestanden van het land of LOLBINS.

In deze update van Microsoft Defender is de opdrachtregelprogramma MpCmdRun.exe bijgewerkt met de mogelijkheid om bestanden te downloaden vanaf een externe locatie, die door aanvallers kunnen worden misbruikt.

Wat is MpCmdRun.exe?

Het echte MpCmdRun.exe- bestand is een softwarecomponent van Microsoft Malware Protection door Microsoft Corporatie . “MpCmdRun.exe” is het Microsoft Malware Protection Command Line Utility. Onder beheerdersrechten, het stelt command-line, parameter gecontroleerde aanroeping van de aldaar gevestigde Microsoft antimalware product van de computer (Windows Defender, Microsoft Security Client of Microsoft Security Essentials). 

Door middel van scripts of door directe opdrachtprompt van de console kan alles, van een enkel bestand tot het hele systeem, worden gescand, met herstelmaatregelen inbegrepen of uitgeschakeld. Het bevindt zich in “C: \ Program Files \ …\ MpCmdRun.exe, “(soms met een extra laatste sub-map genaamd” Anti-malware “), en kan niet worden verwijderd zonder het volledige antimalware product te verwijderen. Het bestond van Windows XP tot en met Windows 10. Sommige Microsoft-documentatie suggereert dat het automatisch uitschakelen van MSE of Windows Defender real-time bescherming wanneer antimalware van derden is geïnstalleerd, verhindert MpCmdRun.exe mogelijk niet om scans te starten. Microsoft Corporatie is in 2016 gerangschikt (naar omzet) als ’s werelds grootste softwaremaker, het werd in april 1975 opgericht door twee mannen, Paul Allen en Bill Gates.

MpCmdRun staat voor Microsoft M alware P rotection C o m man d – Run Utility

De .exe-extensie op een bestandsnaam geeft een exe- bestand aan dat kan worden geknipt. Uitvoerbare bestanden kunnen in sommige gevallen uw computer beschadigen. Lees daarom hieronder om zelf te beslissen of de MpCmdRun.exe op uw computer een Trojaans paard is dat u moet verwijderen of dat het een bestand is dat behoort tot het Windows- besturingssysteem of tot een vertrouwde applicatie.

Met deze nieuwe functie maakt Microsoft Defender nu deel uit van de lange lijst met Windows-programma’s die kunnen worden misbruikt door lokale aanvallers.

Microsoft Defender kan worden gebruikt als een LOLBIN

Ontdekt door een beveiligingsonderzoeker genaamd Mohammad Askar, bevat een recente update van de opdrachtregel hulpprogramma van Microsoft Defender nu een nieuw DownloadFileopdrachtregelargument.

Met deze instructie kan een lokale gebruiker het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) gebruiken om een ​​bestand van een externe locatie te downloaden met behulp van de volgende opdracht:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Windows Defender heeft een nieuwe functie toegevoegd en beveiligingsonderzoekers zijn daar niet zo blij mee, aangezien het het aanvalsoppervlak van Windows heeft vergroot.

Versie 4.18.2007.9 of 4.18.2009.9 van de app heeft de mogelijkheid toegevoegd om bestanden te downloaden via de opdrachtregel met behulp van de app, bijv.

MpCmdRun.exe -DownloadFile -url [url] -pad [pad_naar_save_file]

Het kan nu worden gebruikt om een ​​binair bestand van internet te downloaden.

Bron: bleepingcomputer.com

Hoewel het op zichzelf geen exploit is, staat de functie een script toe dat de opdrachtregel kan starten om meer bestanden van internet te halen met behulp van native zogenaamde living-off-the-land binaries of LOLBINS.

Het toevoegen van de functie aan Windows Defender betekent dat er nog een app-beheerder in de gaten moet worden gehouden en een andere app die hackers kunnen misbruiken.

Gelukkig scant Windows Defender nog steeds de apps die het downloadt, maar dit is zeker niet onfeilbaar.

Zo schakelt u de functie Help op afstand van Windows 10 uit

Wanneer u de hulp op afstand nooit gebruikt, kunt u overwegen de functie in Windows 10 uit te schakelen. Dit doet u als volgt.

In Windows 10 is Hulp op afstand een functie die al lang bestaat en die is ontworpen om iemand die u kent en vertrouwt toegang te geven tot uw apparaat op afstand via internet.

Meestal is het een handig hulpmiddel om technische ondersteuning, familieleden of vrienden toegang te geven tot uw bureaublad om u te helpen bij het oplossen van een probleem, het instellen van een programma of het wijzigen van systeeminstellingen zonder dat de persoon fysiek op de locatie aanwezig hoeft te zijn.

Het is echter een functie die standaard wordt ingeschakeld op Windows 10, en als u het niet gebruikt of als u zich moet houden aan het beveiligingsbeleid in uw organisatie, raden we aan om het uit te schakelen om uw apparaat een beetje veiliger te maken.

In dit Windows 10 artikel nemen we met u de stappen door om de functie Hulp op afstand uit te schakelen om te voorkomen dat uw apparaat kwetsbaar wordt voor mogelijke aanvallen op afstand.

Hulp op afstand uitschakelen op Windows 10

Volg deze stappen om Hulp op afstand uit te schakelen op Windows 10:

  1. Open het Configuratiescherm .
  2. Klik op Systeem en beveiliging .
  • Klik in het gedeelte ‘Systeem’ op de optie Externe toegang toestaan.
  • Klik op het tabblad Externe Verbinding .
  • Schakel in het gedeelte “Hulp op afstand” de optie Hulp op afstand toestaan ​​verbinding met deze computer uit .
  • Klik op de knop Toepassen .
  • Klik op de knop OK .

Nadat u deze stappen hebt voltooid, wordt de externe verbindingsfunctie niet meer op uw computer uitgevoerd.

Als u ooit hulp nodig hebt bij het oplossen van een probleem op uw apparaat, kunt u Hulp op afstand opnieuw inschakelen met dezelfde instructies, maar zorg er bij stap 5 voor dat u de optie Hulp op afstand toestaan ​​op deze computer aanvinkt.

Firewallpoorten sluiten

Naast het uitschakelen van de functie, moet u ook de firewallpoorten van de service sluiten met deze stappen:

  • Open het Configuratiescherm .
  • Klik op Systeem en beveiliging .
  • Klik in het gedeelte ‘Windows Defender Firewall’ op de optie Een app toestaan ​​via Windows Firewall .
  • Klik op de knop Instellingen wijzigen .
  • Wis de optie Hulp op afstand .
  • Klik op de knop OK .

Nadat u deze stappen hebt voltooid, sluiten de poorten in de firewall waarmee de service kan worden uitgevoerd om mogelijke beveiligingslekken te voorkomen.

U kunt ook altijd dezelfde instructies gebruiken om de wijzigingen ongedaan te maken, maar zorg ervoor dat u de optie Hulp op afstand aanvinkt en selecteert in welk type netwerken (“Privé” en / of “Openbaar”) u wilt toestaan de service die moet worden uitgevoerd.

Deze handleiding is gericht op Windows 10, maar deze stappen zouden ook moeten werken op Windows 8 en Windows 7.

Microsoft: ondersteuning Security Essentials voor Windows 7 zal blijven

Bron: Unsplash

Microsoft heeft bevestigd dat het zal blijven doorgaan met ondersteuning voor Microsoft Security Essentials na schijnbaar tegenstrijdige informatie gesuggereerd dat het niet zal worden gesteund op alle, zelfs voor degenen die gekocht Uitgebreide beveiliging updates voor Windows 7. De support document eerder gelezen:

Nee, uw Windows 7-pc wordt na 14 januari 2020 niet meer beschermd door Microsoft Security Essentials (MSE). Dit product is uniek voor Windows 7 en volgt dezelfde levenscyclus data voor ondersteuning.

Tijdens een AMA op de Microsoft ForumWoody Leonhard van Computerworld vroeg aan het team:

Kun je bevestigen dat Microsoft echt, zeker, Microsoft Security Essentials malware-handtekening updates na 14 januari zal stoppen? Zelfs als u betaalt voor uitgebreide ondersteuning?

Mike Cure, een ingenieur voor het bedrijf, antwoordde dat Security Essentials “handtekening updates” blijft ontvangen nadat het besturingssysteem op 14 januari 2020 niet langer wordt ondersteund, zoals eerder vermeld.

Bron: Microsoft

Microsoft Security Essentials (MSE) blijft handtekening updates ontvangen na 14 januari 2020. Het MSE-platform wordt echter niet langer bijgewerkt.

Een andere gebruiker waarschuwde Cure voor de tegenstrijdige verklaring op het ESU-ondersteuningsdocument, waarop hij antwoordde: “Ik krijg [de ESU FAQ] zo snel mogelijk gecorrigeerd.”

Aangezien 14 januari de officiële einddatum voor ondersteuning van Windows 7 is, wordt het over het algemeen aanbevolen dat velen moeten upgraden naar een nieuwer besturingssysteem, bij voorkeur Windows 10. Echter, degenen die nog tijd nodig hebben met het maken van de volledige overgang zou het gemakkelijker moeten kunnen doordat hun systemen beschermd zullen blijven door Security Essentials.

Antivirus bedrijven slaan handen ineen om Stalkerware te verwijderen

Het verenigen van belangengroepen, softwareontwikkelaars, beveiligingsbedrijven en overlevenden om beledigende technologie en software te elimineren

Een aantal bedrijven heeft de handen ineen geslagen om Stalkerware tegen te gaan. Het gaar om bedrijven als: Avira, Kaspersky, G-Data, Malwarebytes, EFF, NNEDV, Norton LifeLock en anderen.

Wat is Stalkerware?

“Stalkerware” is software, die direct beschikbaar wordt gesteld aan individuen, waarmee een externe gebruiker de activiteiten op het apparaat van een andere gebruiker kan monitoren zonder toestemming van die gebruiker en zonder uitdrukkelijke, permanente kennisgeving aan die gebruiker om opzettelijk of onbedoeld intieme partner surveillance, intimidatie, misbruik, stalking en/of geweld te faciliteren.

Snelle feiten

Stalkerware is gekoppeld aan onderdrukkende regimes over de hele wereld. Funding stalkerware helpt bij het financieren van mensenrechtenschendingen.

Een antivirus bedrijf ontdekt een 373% toename van de stalkerware installaties sinds vorig jaar.

Stalkerware wordt steeds meer gecriminaliseerd, wat leidt tot gevangenistijd voor ontwikkel-en mensen die het kopen.

Is het legaal?

De wetten zijn nog steeds inhaal, maar over het algemeen is het gebruik van stalkerware illegaal, zelfs als de verkoop legaal is.

Wetten variëren van land en staat tot een andere, maar het is over het algemeen illegaal om stalkerware tools en apps te gebruiken zonder de toestemming of van het doel of een andere juridische autoriteit. Bijvoorbeeld, bestaande wetten op stalking, intimidatie en afluisteren per telefoon tap zijn gebruikt om stalkerware kopers met succes te vervolgen.

Bovendien vereisen veel staten de toestemming van een of beide partijen voor een gesprek als het wordt opgenomen. Stalkerware-tools schenden vaak die wetten en stellen de Stalker bloot aan wettelijke aansprakelijkheid voor opnames gemaakt zonder de kennis van het slachtoffer.

Er zijn meerdere veroordelingen geweest met betrekking tot stalkerware. Aangezien antivirus bedrijven het gemakkelijker maken om stalkerware te detecteren en te rapporteren, wordt deze trend naar verwachting voortgezet.

Detectie criteria

  • Apps die in staat zijn om betrokken gebruikers te volgen, het gedrag van getroffen gebruikers te monitoren, de activiteit van betrokken gebruikers te bekijken en/of te registreren en/of getroffen apparaten op afstand te bedienen zonder de voortdurende toestemming en/of kennis van de betrokken gebruikers; ·
  • Apps die het bespioneren en bewaken zonder toestemming mogelijk maken door te verbergen dat ze zijn geïnstalleerd, hun activiteit te verbergen en/of na de installatie een andere naam op de getroffen apparaten te gebruiken;
  • Apps – waarvan de kernfunctionaliteit gegevensexfiltratie op de achtergrond inhoudt – die gevoelige gegevens van betrokken gebruikers delen (bijvoorbeeld locatiegegevens, contactpersonen, oproep/tekst logs, browser geschiedenis, enz.) met een externe gebruiker zonder de uitdrukkelijke toestemming van, en blijvende kennisgeving aan, betrokken gebruikers;
  • Apps die zichzelf op de markt brengen als spionage en/of surveillance.

Stalkerware als een gendergerelateerde fenomeen

Hoewel er behoefte is aan meer onderzoek naar het gendergerelateerde karakter van het gebruik van stalkerware, schilderen de beschikbare gegevens een duidelijk beeld dat de belangrijkste slachtoffers van door technologie gefaciliteerd misbruik vrouwen zijn, terwijl de daders voornamelijk mannen zijn.

Studies hebben aangetoond dat 70% van de vrouwen die het slachtoffer zijn van Cyber ook fysiek en/of seksueel geweld hebben meegemaakt in de handen van een intieme partner. Dit blijft de verontrustende tendens van gendergerelateerd geweld in huiselijk misbruik.

Het verband tussen intiem partnergeweld, gender en technologie vergemakkelijkt misbruik, zoals het gebruik van stalkerware, moet een duidelijke ECHO vinden in beleid, preventie en dader werk, slachtofferhulp, evenals in bewustmakingscampagnes, trainingen en Onderzoek.

Bron: stopstalkerware

Pin It on Pinterest