Windows може да бъде заблуден, че в системата е инсталиран външен антивирус, и да деактивира вградения Defender (снимка: Microsoft)
Вграденият в Windows антивирус Defender върши много полезна работа, предпазвайки компютрите от злонамерени пробиви. Но някои потребители не са щастливи от тази непоискана помощ, а хакерите търсят начини да заобиколят защитата на Microsoft и имат известни успехи.
Компютърен ентусиаст откри хитър трик, който кара Windows да деактивира Defender. По същество, уникалният трик може да накара Центъра за сигурност на Windows да повярва, че на системата е инсталиран нов антивирус, в резултат на което Defender ще се изключи автоматично.
В Центъра за сигурност на Windows има недокументиран API, който сигнализира за инсталиране на нов антивирус за защита в реално време. След активиране на антивируса от трета страна, Windows автоматично изключва Microsoft Defender, за да избегне системни конфликти между двата антивируса.
Изследовател в областта на информационната сигурност, представящ се под името es3n1n, е създал софтуерен инструмент Defendnot, който позволява на потребителите да регистрират нефункционален „манекен” като актуален антивирус. По-рано същият es3n1n написа друг подобен продукт – „no-defender”, но той съдържаше фрагмент от код на търговски антивирус, използван за регистрация в Центъра за сигурност на Windows.
След като проектът доби известност, разработчикът на търговския продукт изпрати жалба до GitHub за нарушаване на закона DMCA. В крайна сметка разработчикът es3n1n реши да затвори хранилището и да изтрие съдържанието му, за да избегне съдебни действия.
За да предотврати повторението на ситуацията, този път es3n1n възпроизвежда същата функционалност, използвайки DLL библиотеките на фалшив антивирус.
API-тата на Центъра за сигурност на Windows обикновено са защитени с различни мерки. Това включва, по-специално, технологията Protected Process Light, която гарантира, че в операционната система се зареждат само надеждни услуги и процеси, проверява валидността на цифровите подписи и др.
Но es3n1n е намерил начин да заобиколи тази защита: Defendnot инжектира своите DLL файлове в системния процес Taskmgr.exe, който е напълно надежден в Windows. И от този процес можете да регистрирате фиктивен антивирус с произволно име, като така ще освободите Windows от защитата на Defender.
Defendnot включва зареждащ механизъм, който предава конфигурационни данни чрез файла ctx.bin и ви позволява да назовете фалшивия антивирус, да деактивирате регистрацията му или да осигурите регистриране. За да осигури постоянното си присъствие, Defendnot създава инструкция в планировчика на задачите на Windows, за да се стартира всеки път, когато влезете в системата.
По същество това е пълноценен зловреден софтуер, който би могъл да се използва при практически атаки. Разработчикът твърди, че продуктът му е чисто изследователски проект. Но Microsoft Defender вече го идентифицира като Win32/Sabsik.FL.!ml и блокира действието му.