Am Puls von Microsoft

Windows 8 Defender setzt hosts-Manipulation zurück

Facebook, Twitter und andere Seiten können nicht umgeleitet werden.
Mit der hosts-Datei in Windows können die Ergebnisse der DNS-Namensauflösung überschrieben werden. Viele Windows-Profis nutzen sie daher, um den Zugriff auf potenziell unerwünschte Webseiten zu unterbinden, in dem sie beispielsweise die IP-Adresse 127.0.0.1 hinterlegen. Auch diverse Antispam-Programme oder ähnliche Tools nutzen die hosts-Datei für ihre Zwecke.
Allerdings machen sich auch Viren und Trojaner deren Funktionsweise zunutze, in dem sie populäre Domains durch Manipulation der hosts-Datei auf Nachbauten der entsprechenden Seiten umleiten. So können Passwörter, Banking-PINs und andere sensible Daten abgegriffen werden.

Der Defender in Windows 8, der bekanntlich nun auch ein Antivirenprogramm auf Basis der Microsoft Security Essentials ist, schützt die hosts-Datei – allerdings mit einem äußerst unangenehmen Nebeneffekt: Eigene Einträge für diverse Domains werden damit unmöglich.
Durch einen entsprechenden Hinweis angestachelt, machte ich die Probe aufs Exempel und trug in meine hosts-Datei diverse URLs ein. Danach sah deren Inhalt folgendermaßen aus:

Anschließend wartete ich einige Minuten und schaute erneut in die hosts – nun bot sich folgendes Bild:

Die Einträge für facebook, google.com, ad.doubleclick.net, twitter.com sowie yahoo.com waren wieder verschwunden. Ich trug sie erneut ein, wartete einen Moment – und flugs waren die Einträge auch schon wieder verschwunden.

Der einzige Weg, diesen Spuk zu beenden, ist die Deaktivierung des Echtzeit-Schutzes im Windows Defender – was natürlich keine gute Idee ist:

Welche Domains der Defender „im Bauch“ hat, ist nicht nachvollziehbar, dies ist also nur ein Beispiel. Zu unken, Microsoft wolle auf diesem Weg sicherstellen, dass wir alle irgendwann den sozialen Netzwerken und den Werbetreibenden ins Netz gehen, ist natürlich Bullshit. Natürlich ist diese Funktion im Defender gut gemeint – gut gemacht sieht aber anders aus.

Zunächst einmal ist es nicht gut, dass diese Funktion nicht transparent ist. Ich weiß nun, dass der Windows Defender bestimmte Änderungen an der hosts-Datei automatisch wieder rückgängig macht – aber ich weiß nicht, welche Domains das sind, und ich kann das auch nicht beeinflussen, ohne ihn komplett abzuschalten.
Außerdem zeigt sich, dass Microsoft hier wieder sehr amerikanisch denkt. Während eine Manipulation von google.de klaglos hingenommen wird, fliegt eine Änderung von google.com gleich wieder raus. Es mangelt also nicht nur an Transparenz, sondern auch an Sorgfalt.

Und ganz abgesehen davon muss man ja überhaupt erst einmal wissen, woher diese Änderung an der hosts-Datei kommt, es erscheinen nämlich keinerlei Hinweise. Wer die Datei editiert und anschließend beobachtet, wie bestimmte Einträge einfach so wieder verschwinden, der wird eventuell vermuten, dass sich ein Schädling eingenistet hat – obwohl ja eigentlich das Gegenteil der Fall ist.

Hier sollte dringend nachgebessert werden.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige