Inhaltsverzeichnis Windows-Telemetrie blockieren: DiagTrack abschalten oder Pi-hole einsetzen Was ist jetzt anders? Telemetrie besser abdrehen Artikel in c't 19/2020 lesen

Anfang August hat Microsoft das Verhalten des bordeigenen Virenwächters Defender so verändert, dass er Alarm schlägt, wenn der Anwender oder ein Programm Hostnamen von Microsoft-Servern in die hosts-Datei einträgt, also etwa update.microsoft.com . Berichtet hat darüber zuerst unser Autor Günter Born, nachdem ein aufmerksamer Teilnehmer seines eigenen Forums von dem Verhalten berichtet hatte. Doch was bedeutet das? Zur Erinnerung: Im Verzeichnis c:\windows\system32\drivers\etc befindet sich eine simple Textdatei namens "hosts" (ohne Endung), mit der man Windows zu Hostnamen gehörige IP-Adressen mitteilen kann. Darin gelistete Namen versucht Windows beim Aufruf nicht erst bei einem DNS-Server in die dazugehörige IP-Adresse aufzulösen, sondern nutzt die eingetragene IP direkt.

Jedes Mal, wenn ein Hostname in eine IP-Adresse aufzulösen ist, klappert Windows zunächst die Einträge in der hosts-Datei ab. Ist die Liste extrem lang, schlägt das vor allem auf älteren, leistungsschwachen PCs nicht nur auf Netzwerkzugriffe, sondern auch auf den Systemstart durch.

Die hosts-Datei ist vor allem hilfreich, wenn kein DNS zur Verfügung steht oder wenn Server keinen Eintrag im DNS haben. So kann man etwa individuelle Hostnamen für Rechner oder Netzwerkspeicher im Firmen- oder Heimnetz definieren. Allerdings können Angreifer das auch missbrauchen. Eine aktive Malware, die von einem Virenwächter noch nicht gefunden wird, kann etwa versuchen, Umleitungen auf die ungültige IP-Adresse 0.0.0.0 in die Hosts-Datei für Hostnamen zu setzen, die zu Antiviren- oder Windows-Update-Servern gehören. Als Ergebnis bekommen der Virenwächter oder Windows selbst keine Updates mehr, weil sämtliche Update-Suchen des Systems im Nirwana landen – einer der Wege, wie sich Malware vor Entdeckung versteckt. Ebenso könnte ein Banking-Trojaner versuchen, die Online-Banking-Adressen gängiger Banken auf gefälschte Webseiten umzuleiten. Derartige Angriffe werden im Idealfall durchaus von Virenwächtern erkannt.