Acaba de ser lançada uma utensílio complicada para quem usa o Windows. Esta é capaz de desativar o Microsoft Tutelar, usando uma função criada pela Microsoft para se fazer passar por um antivírus certificado aos olhos do Windows. Com esta tática, pode enganar o antivírus padrão do sistema operativo, abrindo caminho a todo o tipo de abusos.
Um investigador desenvolveu uma utensílio capaz de desativar o Microsoft Tutelar, o antivírus padrão dos computadores Windows. Denominada Defendnot, a utensílio explora a API do Windows Security Center (WSC) para desativar os antivírus sem alertar os mecanismos de segurança do computador.
Obtêm assim o recta de desativar o Microsoft Tutelar. Quando um antivírus de terceiros é instalado e reconhecido pelo Windows, o Microsoft Tutelar desativa-se. O sistema operativo está programado para impedir que vários programas antivírus sejam executados em simultâneo. Leste cenário pode diminuir o desempenho do computador ou fabricar conflitos entre programas antivírus.
Consciente dos riscos, a Microsoft desenvolveu uma série de proteções em torno da API do Security Center. A empresa implementou um sistema de proteção que impede que programas não autorizados modifiquem ou espiem processos sensíveis, além de um sistema de assinatura do dedo. Devem prometer que somente os programas fidedignos, ou seja, programas certificados pela Microsoft, podem ser registados corretamente.
Todas estas proteções foram contornadas e enganadas pela Defendnot. Para tal, introduz o seu código no Taskmgr.exe, o gestor de tarefas do Windows. O truque é usar nascente programa solene para enganar o Windows, fazendo-o pensar que é um antivírus real, mas usando um nome falso.
O Defendnot permite ao utilizador escolher o nome do antivírus que pretende exibir no Windows e desativar o registo na Medial de Segurança para permanecer indetetável. Por término, o programa adiciona-se ao agendador de tarefas do Windows para se manter ativo mesmo depois o reinício do computador.
Leste é exclusivamente um projeto de investigação. A geração da utensílio, no entanto, mostra uma vez que é verosímil manipular o Windows para remover a segurança do Microsoft Tutelar. Espera-se que esta irregularidade de design seja eventualmente explorada por cibercriminosos. A irregularidade é causada pela forma uma vez que o Windows funciona. Note que o Microsoft Tutelar é agora capaz de detetar e colocar o Defendnot em quarentena antes que nascente se comece a dissimular de antivírus.
