Исследователь в области кибербезопасности, известный под псевдонимом es3n1n, разработал новый инструмент, который может вызвать беспокойство у пользователей Windows. Утилита под названием Defendnot позволяет отключить защиту Windows, используя не документированную функцию Windows Security Center API. Эта утилита регистрирует поддельный антивирусный продукт, который обходит процесс верификации Windows.
Важным аспектом в работе Defendnot является метод DLL-инъекции, применяемый для реализации этой уязвимости. Программа внедряет вредоносные DLL-библиотеки в процесс Taskmgr.exe, обходя такие защиты как Protected Process Light и проверку на наличие действительных цифровых подписей.
Defendnot также включает загрузчик, позволяющий задавать кастомизированные имена антивирусов, отключать регистрацию и вести подробный журнал событий. Это делает утилиту особо опасной, так как она может вводить в заблуждение систему безопасности, имитируя легитимные антивирусные решения.
Сам Microsoft Defender, антивирус от Microsoft, также под угрозой в результате использования Defendnot. Этот инструмент становится потенциальным средством для разрушения привычной защиты, которую предлагают системы Windows.
Вопросы кибербезопасности становятся все более актуальными в условиях постоянно развивающихся технологий, и появление таких инструментов подчеркивает необходимость усиления защиты и своевременного обновления систем. Пока Microsoft не комментирует данный вопрос, пользователи должны быть бдительными и следить за обновлениями своих систем, чтобы избежать возможных угроз.