Die simple Textdatei, die seit Urzeiten als c:\windows\system32\drivers\etc\hosts in den Windows-Eingeweiden liegt, hat eine einfache Aufgabe: Dort lassen sich Namen für IP-Adressen hinterlegen; sie stammt noch aus Zeiten, als vom Domain Name System noch keine Rede war. Unter anderem die Namensauflösung von Windows konsultiert aber neben den DNS-Servern auch heutzutage die Datei, wenn ein Netzwerkdienst die Adresse für einen Host ermitteln will.

An der Datei hat sich in den vergangenen Jahren gern Malware zu schaffen gemacht. Sie hat dort Adressen eigener Server hinterlassen, um Zugriffe auf Update-Server zu bösartigen Angeboten umzuleiten, oder sie hat Adressen wie 127.0.0.1 oder 0.0.0.0 eingetragen, die Zugriffe ins Leere laufen lassen (genauer: ans lokale System oder eine ungültige Adresse richten). Sicherheits-Software achtet deshalb schon länger auf Änderungen an der Datei. Auch mancher eher zweifelhafte Windows-Tipp rankt um die Datei: So tragen Nutzer dort die Namen der Windows-Telemetrie-Server ein, um diese Daten nicht bei Microsoft abzuliefern.

Es häufen sich hinweise, dass die hosts-Datei von Microsofts mit Windows mitgeliefertem Anti-Malware Tool Defender als „HostFileHijack“ eingestuft wurde. Die Gemeinsamkeit war, dass dort Microsoft-Adressen standen. Mit Windows 10 Version 1909 ließ sich das reproduzieren: Sobald man dort Eintragungen vornahm, die microsoft.com, windows.com, live.com, vsgallery.com oder windowsazure.com enthalten oder darauf enden, ruft das den Defender auf den Plan. Er ersetzt die Datei durch die mit Windows gelieferte Standardversion. Ähnlich verhält sich auch Version 2004.

Wer partout in hosts-Datei Adressen für Server eintragen will, die den Defender auf den Plan rufen, muss die Datei von seiner Überwachung ausnehmen, verliert dann aber auch den Schutz vor Manipulation durch Schädlinge. Microsoft hat sich bisher nicht zu den Aktivitäten des Defenders geäußert.