Wie ich unfreiwillig zum Autor eines gefährlichen Trojaners wurde

Ich habe in meinem Leben zwar schon viele programmiert, aber bislang weder ein Virusprogramm geschweige denn einen Trojaner (wenngleich das angeblich nicht soooo schwierig sein soll).

Wie leicht es dann in der Praxis geht, hat mich dann doch überrascht. Der Hintergrund war, dass ich eine Stapeldatei ausprobieren wollte, die einen Windows 10-Computer davon abbringt Telemetriedaten zu übertragen:

https://winaero.com/blog/how-to-disable-telemetry-and-data-collection-in-windows-10/

Das Funktionsprinzip der Stapeldatei ist im Grunde einfach. Sie blockiert das Senden von Telemetriedaten, in dem sie über die Hosts-Datei in C:\Windows\System32\etc die Serveradressen, an die die Telemetriedaten geschickt werden, auf 127.0.0.1 umleitet und damit ins Nirwana schickt. Die Apps verschicken zwar die Daten, diese kommen aber nicht am Ziel an.

Nachdem ich per Copy&Paste die Stapeldatei im Editor als Cmd-Datei speichern wollte, schlug Defender Alarm. Was genau dazu führt, dass die harmlose Stapeldatei als gefährlicher Trojaner eingestuft wird, weiß ich im Moment nicht.

Ganz überrascht hätte ich nicht sein dürfen, denn das Verhalten wurde in den Kommentaren des obigen Blogeintrags bereits erwähnt.

Defender meldet eine Stapeldatei als Trojaner

Defender meldet eine harmlose Stapeldatei als Trojaner

Die Hosts-Datei editieren mit Hosts File Editor

Die Hosts-Datei ist eine unscheinbare Datei mit dem Namen Hosts im Verzeichnis C:\Windows\System32\drivers\etc.

Sie enthält Einträge, die IP-Adressen DNS-Adressen zuordnen, so dass sich damit eine nicht vorhandene DNS-Namensauflösung simulieren lässt.

Die Hosts-Datei kann auch als Ad Blocker fungieren, in dem die Aufrufe von Werbenetzwerken durch hinzugefügte Einträge auf die Adresse 0.0.0.0 bzw. 127.0.0.1 und damit auf den eigenen PC umgeleitet werden.

Ein Beispiel für einen solchen Eintrag ist 0.0.0.0 ad.doubleclick.net, um Aufrufe an das DoubleClick-Werbenetzwerk zu verhindern.

Eine gute Beschreibung dieser einfachen Technik gibt es unter http://winhelp2002.mvps.org/

Normalerweise wird die Hosts-Datei im Editor bearbeitet, mit dem Hosts File Editor gibt es aber auch ein GUI-Tool für diesen Zweck: http://hostsfileseditor.weebly.com/

Das kleine Tool ist natürlich nicht nur ein simpler Editor-Ersatz, seine Hauptaufgabe besteht darin, dass es auf Wunsch alle Einträge hinzufügt, mit denen die „Rückrufe“ bestimmter Werbenetzwerke, von Portalen wie YouTube oder auch die Microsoft-Telemetrie-Daten geblockt werden (Voraussetzt natürlich, dass sich die Adressen nicht in der Zwischenzeit geändert haben).

Der Hosts FileEditor soll unverwünschte Verbindungen ins Internet verhindern