В Windows нашли способ незаметно отключить защиту: антивирус можно обмануть фальшивой программой

Независимый исследователь в сфере информационной безопасности под псевдонимом es3n1n обнаружил оригинальный способ деактивации встроенного защитного механизма Microsoft Defender. Он создал инструмент, который имитирует наличие антивирусного ПО, тем самым вводя систему в заблуждение.

Суть метода — в использовании скрытого механизма Windows Security Center. Эта подсистема автоматически отключает Microsoft Defender, если считает, что в системе уже присутствует сторонний антивирус. Новый инструмент под названием Defendnot регистрирует в системе фиктивный защитный продукт, который не выполняет реальной функции защиты, но «обманывает» систему, заставляя отключить Defender.

Для обхода системных ограничений Defendnot использует доверенный системный процесс Task Manager (taskmgr.exe), в который внедряется через DLL-инъекцию. Это позволяет получить привилегированный доступ и зарегистрировать поддельный антивирус от имени Windows. Таким образом, встроенный антивирус отключается без необходимости устанавливать настоящее программное обеспечение.

Хотя разработчик утверждает, что проект создан исключительно в исследовательских целях, Microsoft уже распознаёт его как потенциально вредоносный и блокирует с пометкой Win32/Sabsik.FL.!ml. По мнению специалистов в области кибербезопасности, несмотря на научный интерес, подобные технологии могут представлять реальную угрозу, если попадут в руки злоумышленников.

Вопросы вызывает и сам подход Windows к доверию системным процессам. Хотя защищенные механизмы существуют, как показала практика, их можно обойти при достаточной квалификации и настойчивости. Это ставит под сомнение устойчивость Windows Defender в современных условиях.