Притворись антивирусом — и система сдастся: как обмануть Windows в два клика

Новый инструмент под названием Defendnot , свободно распространяемый на GitHub, способен полностью отключать Microsoft Defender на устройствах Windows, маскируясь под антивирусное программное обеспечение. Основной приём — использование нестандартного механизма в Windows Security Center (WSC), предназначенного для регистрации антивирусов. Когда система считает, что на компьютере уже есть установленный антивирус, встроенный Defender автоматически отключается, чтобы избежать конфликтов. При этом, по факту, никакой другой антивирус в систему не устанавливается — это всего лишь уловка для отключения встроенной защиты.

Этой особенностью и воспользовался автор Defendnot, известный под псевдонимом es3n1n. Он создал библиотеку, которая формально соответствует требованиям WSC и успешно проходит проверки Windows. Таким образом, поддельный антивирус регистрируется как легитимный, и Microsoft Defender без лишних вопросов отключает защиту в реальном времени.

Предшественником Defendnot был проект под названием no-defender , в котором использовался код настоящего антивируса для регистрации через WSC. Однако после того, как тот антивирусный вендор подал жалобу по DMCA, проект пришлось удалить с GitHub. Новый инструмент избежал аналогичных проблем: он построен полностью с нуля и использует фиктивную DLL, не нарушающую авторских прав.

Чтобы обойти защитные меры самой Windows, такие как Protected Process Light (PPL) и проверку цифровых подписей, Defendnot внедряет свою библиотеку внутрь доверенного системного процесса «Taskmgr.exe». Это позволяет обойти ограничения и спокойно зарегистрировать фиктивный антивирус, задав любое отображаемое имя.

После регистрации Microsoft Defender немедленно отключается. При этом на устройстве не остаётся никакой активной защиты, что делает его уязвимым для любых атак. Для удобства атаки и устойчивости в системе Defendnot использует планировщик заданий Windows Task Scheduler — фальшивый антивирус будет автоматически запускаться при каждой загрузке системы.

В комплекте с инструментом идёт загрузчик, который позволяет передавать настройки через файл «ctx.bin»: можно указать имя отображаемого антивируса, отключить регистрацию и включить подробный лог.

Несмотря на то, что автор позиционирует проект как исследовательский, он ярко демонстрирует, как уязвимы даже доверенные компоненты системы безопасности при определённом уровне доступа и манипуляций.

В настоящее время Microsoft Defender начал детектировать и помещать Defendnot в карантин как угрозу под именем «Win32/Sabsik.FL.!ml», что свидетельствует о попытке закрыть канал отключения своей защиты, хотя корневая уязвимость — в самом механизме доверия к зарегистрированному ПО — остаётся без изменений.