Новый инструмент Defendnot обманывает Windows, отключая Microsoft Defender
Новый инструмент под названием Defendnot позволяет отключить Microsoft Defender на устройствах с Windows, регистрируя поддельный антивирусный продукт, даже если реальный антивирус не установлен. Этот метод использует недокументированный API Windows Security Center (WSC), который антивирусные программы применяют для уведомления системы о своем присутствии и управлении защитой устройства в реальном времени.
Когда антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных приложений. Defendnot, созданный исследователем es3n1n, злоупотребляет этим API, регистрируя фиктивный антивирус, который проходит все проверки Windows.
Инструмент основан на предыдущем проекте no-defender, который использовал код стороннего антивируса для подделки регистрации в WSC. Однако тот проект был удален с GitHub после жалобы разработчика антивируса на нарушение авторских прав. Defendnot избегает этой проблемы, создавая функциональность с нуля через фиктивную DLL.
Обычно API WSC защищен с помощью Protected Process Light (PPL), действительных цифровых подписей и других функций. Чтобы обойти эти ограничения, Defendnot внедряет свою DLL в системный процесс Taskmgr.exe, который уже доверен Microsoft. Изнутри этого процесса инструмент регистрирует фиктивный антивирус с поддельным именем. После регистрации Microsoft Defender немедленно отключается, оставляя устройство без активной защиты.
Инструмент также включает загрузчик, который передает конфигурационные данные через файл ctx.bin, позволяя задать имя антивируса, отключить регистрацию и включить подробное логирование. Для обеспечения постоянства Defendnot создает автозапуск через Планировщик задач Windows, чтобы инструмент запускался при входе в систему.
Хотя Defendnot считается исследовательским проектом, он демонстрирует, как доверенные системные функции могут быть использованы для отключения защитных механизмов. В настоящее время Microsoft Defender обнаруживает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
