Ferra: «Защитник Windows» обошли с помощью фальшивого антивируса

Разработчики es3n1n разработали утилиту Defendnot, которая смогла отключить «Защитник Windows», выдавая себя за антивирус.

ПО использует незадокументированный API Windows Security Center, регистрируясь фиктивным антивирусом. Из-за этого «Защитник Windows» автоматически признает его безопасным и отключается.

Примечательно то, что Defendnot не нуждается в замене системных файлов или установке реального антивируса. Инструмент функционирует благодаря созданию DLL-библиотеки, которая внедряется в доверенные процессы, например такие, как «Диспетчер задач».

В Microsoft отреагировали на эту уязвимость. Разработчики компании уже «заставили» ОС классифицировать Defendnot как троян и блокировать работу этой программы, пишет Ferra.