Một nhà nghiên cứu được gọi là es3n1n đã phát triển một công cụ có tên là Defendnot có khả năng đánh lừa máy tính Windows vô hiệu hóa Microsoft Defender, khiến thiết bị hoàn toàn không được bảo vệ khỏi phần mềm độc hại.
Bằng cách đăng ký một sản phẩm diệt vi-rút giả, Defendnot thuyết phục Microsoft tắt phần mềm diệt vi-rút tích hợp của mình để tránh xảy ra bất kỳ xung đột nào giữa hai chương trình bảo mật.
Theo báo cáo của Bleeping Computer, Defendnot có thể thực hiện việc này ngay cả khi không có phần mềm diệt vi-rút thực sự nào được cài đặt trên máy bằng cách sử dụng API không có tài liệu trong Trung tâm bảo mật Windows (WSC) – cùng một API được phần mềm diệt vi-rút hợp pháp sử dụng – để thông báo cho Windows rằng phần mềm đã được cài đặt đúng cách và xử lý bảo vệ theo thời gian thực cho hệ thống.
Nó dựa trên một dự án trước đó, nhà nghiên cứu gọi là "no-defender", đặt nền tảng bằng cách sử dụng mã từ phần mềm diệt vi-rút của bên thứ ba để giả mạo đăng ký Trung tâm bảo mật Windows. Tuy nhiên, nhà cung cấp phần mềm đó đã nộp yêu cầu gỡ bỏ theo DMCA, dẫn đến việc nó bị xóa khỏi GitHub.
Mặt khác, Defendnot đã học hỏi từ điều này và xây dựng chức năng diệt vi-rút từ đầu thông qua một DLL giả, điều này không gây ra hành vi vi phạm bản quyền. Nó đưa một DLL vào một quy trình hệ thống của Microsoft, Taskmgr.exe, đã được ký và đã được tin cậy. Trong quy trình này, nó có thể đăng ký phần mềm diệt vi-rút giả với bất kỳ tên hiển thị giả mạo nào.
Mặc dù là một dự án nghiên cứu, Defendnot chứng minh rằng việc biến các tính năng hệ thống đáng tin cậy thành các vấn đề bảo mật có thể dễ dàng như thế nào; hiện tại, Microsoft Defender đang phát hiện và cách ly Defendnot như một trojan dựa trên thuật toán học máy của riêng nó.
Tuy nhiên, những người dùng muốn có mức độ bảo vệ tốt nhất cho PC chạy Windows của mình nên luôn sử dụng một trong những chương trình phần mềm diệt vi-rút tốt nhất và khả năng bảo vệ tích hợp do Windows Defender cung cấp. Các bộ bảo mật này thường cung cấp khả năng bảo vệ phần mềm độc hại tuyệt vời và các tính năng bổ sung như kiểm soát của phụ huynh, VPN và trình quản lý mật khẩu có thể giúp bạn an toàn khi trực tuyến.
Bằng cách đăng ký một sản phẩm diệt vi-rút giả, Defendnot thuyết phục Microsoft tắt phần mềm diệt vi-rút tích hợp của mình để tránh xảy ra bất kỳ xung đột nào giữa hai chương trình bảo mật.
Theo báo cáo của Bleeping Computer, Defendnot có thể thực hiện việc này ngay cả khi không có phần mềm diệt vi-rút thực sự nào được cài đặt trên máy bằng cách sử dụng API không có tài liệu trong Trung tâm bảo mật Windows (WSC) – cùng một API được phần mềm diệt vi-rút hợp pháp sử dụng – để thông báo cho Windows rằng phần mềm đã được cài đặt đúng cách và xử lý bảo vệ theo thời gian thực cho hệ thống.
Sau khi hoàn tất bước đăng ký, Defender sẽ ngay lập tức tắt để ngăn chặn mọi sự cố, khiến máy tính không có chế độ bảo vệ chống vi-rút đang hoạt động. Công cụ Defendnot cũng bao gồm một trình tải truyền dữ liệu cấu hình qua tệp ctx.bin, cho phép người dùng đặt tên cho phần mềm diệt vi-rút giả thành bất kỳ tên nào họ thích. Defendnot sẽ tạo một lệnh chạy tự động thông qua Task Schedule, vì vậy nó sẽ bắt đầu khi bạn đăng nhập vào Windows.
Nó dựa trên một dự án trước đó, nhà nghiên cứu gọi là "no-defender", đặt nền tảng bằng cách sử dụng mã từ phần mềm diệt vi-rút của bên thứ ba để giả mạo đăng ký Trung tâm bảo mật Windows. Tuy nhiên, nhà cung cấp phần mềm đó đã nộp yêu cầu gỡ bỏ theo DMCA, dẫn đến việc nó bị xóa khỏi GitHub.
Mặt khác, Defendnot đã học hỏi từ điều này và xây dựng chức năng diệt vi-rút từ đầu thông qua một DLL giả, điều này không gây ra hành vi vi phạm bản quyền. Nó đưa một DLL vào một quy trình hệ thống của Microsoft, Taskmgr.exe, đã được ký và đã được tin cậy. Trong quy trình này, nó có thể đăng ký phần mềm diệt vi-rút giả với bất kỳ tên hiển thị giả mạo nào.
Mặc dù là một dự án nghiên cứu, Defendnot chứng minh rằng việc biến các tính năng hệ thống đáng tin cậy thành các vấn đề bảo mật có thể dễ dàng như thế nào; hiện tại, Microsoft Defender đang phát hiện và cách ly Defendnot như một trojan dựa trên thuật toán học máy của riêng nó.
Cách giữ an toàn
Vì Defendnot là một dự án nghiên cứu — và đã bị Defender cách ly — nên hiện tại nó không gây rủi ro cho bất kỳ hệ thống cụ thể nào. Ngoài ra, không có thông tin chi tiết nào về cách Defendnot có thể hoạt động trên máy tính đang chạy phần mềm diệt vi-rút của bên thứ ba ngoài Windows Defender.Tuy nhiên, những người dùng muốn có mức độ bảo vệ tốt nhất cho PC chạy Windows của mình nên luôn sử dụng một trong những chương trình phần mềm diệt vi-rút tốt nhất và khả năng bảo vệ tích hợp do Windows Defender cung cấp. Các bộ bảo mật này thường cung cấp khả năng bảo vệ phần mềm độc hại tuyệt vời và các tính năng bổ sung như kiểm soát của phụ huynh, VPN và trình quản lý mật khẩu có thể giúp bạn an toàn khi trực tuyến.
- Tôi có cần phần mềm diệt vi-rút cho Windows 11 không?
- Các trang web ChatGPT giả mạo có thể gây nguy hiểm cho dữ liệu và thiết bị của bạn — đây là cách phát hiện chúng
- Google vừa sửa một lỗ hổng nghiêm trọng của Chrome có thể được sử dụng để chiếm đoạt tài khoản của bạn — hãy cập nhật ngay bây giờ
