Defendnot consegue desactivar o Microsoft Defender no Windows

Uma ferramenta chamada Defendnot  consegue enganar o Windows e desactivar o Microsoft Defender, mesmo quando não existe outro antivírus instalado.

A técnica passa por registar um antivírus falso usando uma API não documentada do Windows Security Center (WSC), que serve normalmente para informar o sistema de que outro software de segurança está ativo.

Sempre que um antivírus legítimo se regista, o Windows desativa automaticamente o Defender para evitar conflitos. A ferramenta Defendnot, criada pelo investigador es3n1n, simula esse comportamento com uma DLL de antivírus falsa construída de raiz, evitando problemas legais como os que levaram à remoção da ferramenta anterior no-defender, que usava código de terceiros.

O truque funciona ao injetar a DLL falsa num processo de sistema confiável, como o Taskmgr.exe, que é assinado pela Microsoft. A partir desse processo, a ferramenta regista o antivírus falso com um nome à escolha do utilizador, o que leva o Defender a desligar-se de imediato. O Defendnot inclui ainda um carregador de configuração e garante persistência ao criar uma tarefa automática no Agendador de Tarefas do Windows.

Apesar de ser apresentado como um projeto de investigação, o Defendnot expõe uma falha grave na forma como o Windows gere os registos de antivírus. O Microsoft Defender já está a detetar esta ameaça com o nome Win32/Sabsik.FL.!ml, mas fica o aviso: mesmo funcionalidades de segurança aparentemente bem protegidas podem ser manipuladas.