האקרים יכולים לכבות את Windows Defender

האקרים יכולים כעת לכבות בקלות את תוכנת Windows Defender שלך על ידי רישום אנטי-וירוס מזויף במחשב שלך. לשם כך, הם משתמשים בכלי חדש בשם Defendnot, שפורסם לאחרונה על ידי חוקר אבטחה תחת הכינוי es3n1n.

כפי שהסבירו, Defendnot מנצל ממשק API של מרכז האבטחה של Windows (WSC) שלא תועד בעבר, בו משתמשים תוכנות אנטי-וירוס של צד שלישי כדי לדעת אם הן פועלות על המכשיר או לא.

בדרך כלל, שתיים או יותר מהתוכנות אינן יכולות לפעול על מכשיר יחיד בו זמנית עקב התנגשויות שונות. כתוצאה מכך, Windows Defender משבית את עצמו אוטומטית, כאשר הוא מגלה שהותקן אנטי-וירוס אחר.

זוהה על ידי Defender

לפי , זהו הניסיון השני של החוקר לבנות פתרון מסוג זה. התוכנה המקורית, ש"התפוצצה" והפכה ויראלית זמן קצר לאחר יציאתה לשוק, הוסרה לאחר בקשה במסגרת חוק זכויות היוצרים של המילניום הדיגיטלי. כפי שמתברר, es3n1n השתמש בקוד ממוצר אנטי-וירוס של צד שלישי כדי לזייף רישום ב-WSC עבור תוכנית שכינו no-defender.

זה כנראה לא התקבל יפה בעיני המפתחים של פתרון צד שלישי זה, אשר דרשו לאחר מכן מ-es3n1n להסיר את התוכנית.

לאחר ההסרה, החוקר בנה את Defendnot עם קובץ DLL דמה של אנטי-וירוס מאפס. הוא מגיע גם עם תכונת הפעלה אוטומטית, המאפשרת לו להתחיל אוטומטית ברגע שהמשתמש מתחבר ל-Windows.

ברור שהכלי לא תוכנן לשימוש זדוני, אך ניתן להניח בבטחה שהוא ינוצל לרעה (או שגורמי איום פשוט יצרו גרסאות משלהם). בעבר, נראו גורמי איום נוקטים בטקטיקות שונות כדי לכבות את תוכנות האנטי-וירוס של אנשים, כגון ניצול לרעה של זכויות מנהל, שיבוש הרישום, חסימת עדכונים, התקנת תוכנת אנטי-וירוס מזויפת או ניצול פגמים שונים בפתרונות של צד שלישי.

למרבה המזל, Defender יכול כעת לזהות ולהכניס להסגר את Defendnot כ-'Win32/Sabsik.FL.!ml;.