Новый инструмент под названием Defendnot способен отключить защитника Microsoft Defender на устройствах Windows. Он регистрирует поддельный антивирусный продукт, даже если настоящий антивирус не установлен в системе.
Этот трюк использует недокументированный API Центра безопасности Windows (WSC), который антивирусное программное обеспечение применяет, чтобы сообщить Windows о своей установке и активации. После этого Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при запуске нескольких приложений безопасности на одном устройстве.
Инструмент Defendnot, созданный исследователем es3n1n, злоупотребляет этим API, регистрируя поддельный антивирусный продукт, который соответствует всем проверкам Windows. Он базируется на предыдущем проекте под названием no-defender, который использовал код из стороннего антивирусного продукта для подделки регистрации в WSC. Проект удалили с GitHub после уведомления о нарушении DMCA.
«Затем, через несколько недель после релиза, проект довольно сильно раздулся и набрал около 1,5 тыс. звезд, после чего разработчики антивируса, который я использовал, подали запрос на удаление DMCA, и я не хотел ничего с этим делать, поэтому просто удалил всё», — объясняет разработчик Defendnot.
Новое решение избегает проблем с авторскими правами, создавая функционал с нуля с помощью фиктивной антивирусной DLL. Обычно API WSC защищён с помощью Protected Process Light (PPL), действительных цифровых подписей и других функций. Чтобы обойти эти требования, Defendnot внедряет свою DLL в системный процесс Taskmgr.exe, который подписан Microsoft. Изнутри этого процесса он может зарегистрировать фиктивный антивирус с поддельным отображаемым именем.
После регистрации Microsoft Defender немедленно отключается, не оставляя активной защиты на устройстве. Инструмент также включает загрузчик, который передаёт данные конфигурации через файл ctx.bin и позволяет задать имя антивируса, который нужно использовать, отключить регистрацию и включить подробное ведение журнала.
Для сохранения работоспособности Defendnot создает автозапуск через планировщик задач Windows, чтобы он запускался при входе в Windows.
Хотя Defendnot считается исследовательским проектом, инструмент демонстрирует, как можно манипулировать надёжными системными функциями для отключения систем безопасности.
В настоящее время Microsoft Defender обнаруживает и помещает Defendnot в карантин как «Win32/Sabsik.FL.!ml;».
В 2024 году пользователи сообщали, что Microsoft Defender считает трояном (Trojan:Win32/Casdet!rfn) обычный текстовый файл с одной строкой «This content is no longer available». («Этот контент больше недоступен»). Юзеры предположили, что это происходит из-за коллизии SHA-256, но, похоже, проблема была шире, так как только антивирусная система считала файл угрозой.
