När en Windows-användare installerar ett antivirusprogram från en annan utvecklare än Microsoft stänger systemet automatiskt av Defender för att förhindra konflikter mellan de två realtidsskydden.
Det här har en utvecklare som kallar sig es3n1n utnyttjat i ett verktyg som visar hur enkelt det är att lura Windows att stänga av Defender utan att ha något annat skydd på plats, rapporterar Bleeping Computer. Verktyget kallas Defendnot och är en uppföljare på ett tidigare projekt kallat no-defender som utvecklaren tog ned och raderade då det inkluderade kod från ett kommersiellt antivirusprogram.
Defendnot använder en DLL-attrapp som låtsas vara antivirus men i själva verket inte gör något alls. För att installera sig som officiellt antivirus använder programmet ett odokumenterat programmeringsgränssnitt (API) i Windows Security Center.
Användare kan ställa in valfritt namn och beskrivning på Defendnots falska antivirus.
Det kräver normalt en giltig kryptografisk signatur med ett utvecklarcertifikat från Microsoft, men Defendnot lurar sig förbi det genom att injicera sig i ett redan betrott systemverktyg – i det här fallet Taskmgr.exe – som registrerar ”antivirusprogrammet” i operativsystemet. Resultatet: Windows stänger omedelbart av Defender och datorn lämnas utan något aktivt skydd.
