Windows 10/11 自帶的 Microsoft Defender 防病毒軟體為預設執行狀態,但如果其檢測到使用者安裝其他安全軟體例如卡巴斯基,則會自動停用防止與其他安全軟體發生衝突。
因此此前有不少開發者嘗試透過註冊虛假的安全軟體來關閉 Microsoft Defender,該防病毒軟體存在較高的誤報率以及可能對啟用指令碼或其他破解工具執行查殺,所以不少使用者希望關閉該防病毒軟體。
駭客當然也同樣希望關閉 Microsoft Defender,只要關閉後就可以在目標系統上為所欲為,在沒有其他安全軟體的干擾下駭客執行惡意操作就不需要小心翼翼,可以輕鬆完成各種惡意操作。
這個虛假的安全軟體註冊名稱顯示為 hello readme:)
日前化名為 es3n1n 的安全研究人員公佈名為 Defendnot 的新工具,該工具利用以前從未記錄過的 WSC API 實現停用 Microsoft Defender,WSC API 允許安全軟體開發商告知作業系統已經安全軟體在執行,所以需要自動停用 Microsoft Defender。
這個新工具釋出後立即爆紅,但隨後因為 DMCA 投訴而被刪除,事實證明想要直接建立工具停用 Microsoft Defender 是很難的,至少得使用確實是安全軟體的程式碼才能呼叫 WSC API。
Defendnot 其實是使用某個安全軟體的程式碼,並將名為 no-defender 的程式偽裝成在 WSC 中註冊的應用程式,被使用程式碼的這家安全軟體應該也很快注意到 Defendnot,分析後發現吃瓜竟然吃到自己頭上,於是火速傳送 DMCA 通知函刪除了該專案。
es3n1n 於是從頭開始使用虛擬防病毒 DLL 構建 Defendnot 併成功實現停用功能,新版本還具備自動啟動和執行,設定開機自啟動後可以隨著 Windows 一起啟動執行。
這款工具的設計目標主要是研究目的,並非惡意用途或普通使用者用來停用 Microsoft Defender,不過駭客確實可以使用該工具進行惡意行為,很難說後續這個小工具是否會被濫用。
當然微軟情報威脅團隊肯定也注意到了這種情況,目前 Microsoft Defender 已經可以檢測 Defendnot 並將其自動隔離,標註的惡意型別為 Win32/Sabsik.FL.A!ml 木馬 (含義:此威脅可以在您的裝置上執行惡意行為者選擇的多種操作)
PS:之前就有網友提取了火絨防毒的模組製作了類似工具,可以用來關閉 Microsoft Defender