Zaufaj mi - jestem antywirusem. Sprytny trik całkowicie wyłącza ochronę Windowsa

Eksperyment czy zagrożenie? Nowe narzędzie badacza bezpieczeństwa pozwala obejść zabezpieczenia systemu Windows i całkowicie wyłączyć wbudowanego antywirusa.

System Windows został właśnie wystawiony na próbę przez sprytne narzędzie badawcze, które… przekonuje go, że jest czymś, czym nie jest. Mowa o Defendnot – autorskim programie stworzonym przez specjalistę ds. cyberbezpieczeństwa znanego pod pseudonimem es3n1n. Narzędzie to wykorzystuje nieudokumentowane mechanizmy systemowe, by zarejestrować „fałszywy” program antywirusowy w Centrum zabezpieczeń Windows – co skutkuje automatycznym wyłączeniem Microsoft Defendera.

"Zaufaj mi, jestem antywirusem"

Windows został zaprojektowany tak, by automatycznie dezaktywować Microsoft Defendera, gdy wykryje zainstalowany program antywirusowy innego producenta. Ma to zapobiegać konfliktom pomiędzy równolegle działającymi usługami ochrony w czasie rzeczywistym. Ten standardowy mechanizm został jednak wykorzystany w nietypowy sposób – bez faktycznej instalacji żadnego oprogramowania ochronnego.

Defendnot korzysta z nieoficjalnego interfejsu API Centrum zabezpieczeń systemu Windows, który pozwala „zarejestrować” nowy produkt zabezpieczający. Windows uznaje go za pełnoprawny antywirus i wyłącza Defendera.

Historia zatoczyła koło

To nie pierwsza taka próba w wykonaniu es3n1na. Wcześniej stworzył on narzędzie o nazwie no-defender, które wykorzystywało fragment kodu komercyjnego antywirusa do rejestracji w systemie. Gdy projekt zdobył rozgłos, właściciel praw autorskich złożył skargę DMCA, co zmusiło badacza do zamknięcia repozytorium GitHub i usunięcia jego zawartości.

Tym razem es3n1n działał ostrożniej. Defendnot opiera się wyłącznie na fałszywych bibliotekach DLL, dzięki czemu nie narusza praw własności intelektualnej żadnej firmy trzeciej. Kod rejestrujący „antywirusa widmo” działa więc całkowicie niezależnie i nie odwołuje się do istniejących rozwiązań komercyjnych.

Task Manager jako koń trojański?

Kluczowy mechanizm działania Defendnota opiera się na wstrzyknięciu fałszywych bibliotek DLL do procesu Taskmgr.exe – dobrze znanego Menedżera zadań Windows. Proces ten, jako integralna część systemu, cieszy się pełnym zaufaniem ze strony Windows i może obchodzić część wbudowanych zabezpieczeń, takich jak Protected Process Light – technologia, która ma chronić system przed ładowaniem nieautoryzowanego kodu.

Dzięki tej technice narzędzie jest w stanie skutecznie zarejestrować fikcyjny program antywirusowy pod dowolną nazwą – od „SuperAntyVirus” po „Bezpieczny2025”. W rezultacie Microsoft Defender zostaje wyłączony, a system pozostaje praktycznie bez ochrony.

Autostart i konfiguracja

Defendnot zawiera moduł ładujący, który korzysta z pliku konfiguracyjnego ctx.bin. Umożliwia on m.in. nadanie nazwy fikcyjnemu antywirusowi, automatyczną aktywację lub dezaktywację jego rejestracji, a nawet zapewnienie mechanizmu redundantnego uruchamiania.

Narzędzie dba też o trwałość w systemie – dodaje się do Harmonogramu zadań Windows, dzięki czemu jest uruchamiane przy każdym logowaniu użytkownika.

Legalność i zagrożenia

Choć sam twórca upiera się, że Defendnot ma charakter wyłącznie badawczy, trudno zignorować jego potencjał w kontekście realnych zagrożeń bezpieczeństwa. Program został już sklasyfikowany przez Microsoft jako potencjalnie szkodliwe oprogramowanie – wykrywany jest jako Win32/Sabsik.FL.!ml przez Microsoft Defendera, ale fakt, że można manipulować zaufanymi procesami systemowymi, pozostaje niepokojący.