SettingsModifier:Win32/PossibleHostsFileHijackウイルスとは? マイクロソフトセキュリティ

937e8138.png


マイクロソフトが提供している Windows 向けの様々な ウイルス対策ソフトWindows Defender」 「Microsoft Safety Scanner」 「Microsoft Security Essentials」 の ウイルス検出名 をお1つ紹介しましょう。
 
SettingsModifier:Win32/PossibleHostsFileHijack

検出名がものスゴい長すぎ~っ! 

読み方は 「セッティングス」 「モディファー」 「Win32」 「ポッシブル」 「ホスツ・ファイル」 「ハイジャック」 です。

このウイルス検出名の意味は、Windows のシステムに最初から用意されてある hostsファイル (ホスツ・ファイル) がもしかしたら悪意のある第三者によって勝手に書き換えられた可能性があるぞ、となります。

Possible → 「~かもしれない」 の意味

hostsファイルが書き換えられた!?

hostsファイルは、Windows 環境の場合は次の場所に置かれてあるテキスト形式のファイルで、その内容は 「メモ帳」 などで普通に閲覧できます。

イメージ 1
hostsファイルの中身をメモ帳で開い

【Windows の hostsファイル の場所】
C:\Windows\System32\drivers\etc\
フォルダの中にある拡張子が付いてない hosts ファイル

コンピュータウイルス、マルウェア、トロイの木馬が、このhostsファイルを無断で書き換えて改ざんする攻撃手口が存在し、一方でインターネット上の邪魔な広告を非表示する目的で意図的に編集をしているユーザーさんもいます。

ウイルスやスパイウェアなどのマルウェアが hosts を書き換えて、ユーザを偽のホストへ誘導することがある(ファーミング詐欺)。これは hosts が一般にDNSより優先して参照されることを悪用したものである。
対策としては、以下のようなことが考えられる。
・hosts の属性を書込み禁止にする。(ただしマルウェアが管理者権限で動作していれば無効)
hosts の変更を監視するようなセキュリティソフトを利用する。
・hosts の内容をときどきチェックする。
・オンラインショッピング・オンラインバンキング・ソフトウェアダウンロードなどのサイトでは、正しいサーバかどうかよく確認する。
https://ja.wikipedia.org/wiki/Hosts

そんなユーザーさん向けに、マイクロソフトは検出除外の方法まで提供してます。

Windows Defender がhosts ファイルをマルウェアと検出します - Microsoft サポート
この問題は、Windows Defender がアドウェアやスパイウェアなどのマルウェアによってhostsファイルが書き換えられたと誤判定した可能性があるために発生します。一般的に、マルウェアのプログラムは、ユーザーを悪意のあるWebサイトへリダイレクトさせるため、hostsファイルを書き換えます。そのため、Windows Defender がhostsファイルをセキュリティ上の脅威として検出することがあります。
https://support.microsoft.com/ja-jp/help/2764944/

削除を指示してもhostsファイルは削除されない!

マイクロソフトが提供するウイルス対策関連ソフトに対して、SettingsModifier:Win32/PossibleHostsFileHijack を削除するよう指示するとどうなる?

hostsファイル は実際には削除されず、hosts ファイルの内容が初期状態にリセットされます。