Фальшивый антивирус: новая утилита отключала Защитник Windows без взлома системы

Разработчики под псевдонимом es3n1n создали инструмент под названием Defendnot, который позволял обойти защитные механизмы Windows необычным способом — представившись антивирусом.

Утилита использовала внутренние, официально не задокументированные интерфейсы Windows Security Center для регистрации себя как антивирусного ПО. В результате стандартный "Защитник Windows" считал систему защищённой и автоматически отключался.

Особенность подхода в том, что Defendnot не вмешивался в системные файлы и не требовал установки реального антивируса. Вместо этого программа создавала собственную DLL-библиотеку и внедряла её в доверенные процессы Windows, такие как "Диспетчер задач", что обеспечивало ей высокую степень маскировки.

На этот трюк обратили внимание в Microsoft. Компания оперативно обновила механизмы защиты: теперь Windows определяет Defendnot как вредоносную программу, классифицируя её как троян, и блокирует её запуск.