Microsoft'un yerleşik güvenlik çözümü Windows Defender'ı, başka bir antivirüs yazılımı yüklemeden devre dışı bırakmak isteyenler için yeni bir araç geliştirildi.
Bir yazılım geliştirici tarafından paylaşılan "Defendnot" adlı bu araç, Windows Güvenlik Merkezi'nin (WSC) kamuya açık olmayan bir API'sini kullanarak, işletim sistemine sistemde başka bir antivirüs programının aktif olduğu bilgisini iletiyor ve bu sayede Windows Defender'ın kendi kendini kapatmasını sağlıyor.
Geliştirici, Defendnot'un daha önceki benzer bir aracının yerini aldığını belirtiyor. Yeni versiyon, eski projede yaşanan bazı sorunların ardından "temiz bir uygulama" olarak tasarlandı. WSC'nin nasıl çalıştığına dair önceki deneyimlere dayanarak, geliştirici gerçek antivirüs yazılımlarının API çağrılarını nasıl doğruladığını çözdü.
Araç, sahte antivirüs DLL'ini Windows'un güvenilir bir süreci olan Görev Yöneticisi (Taskmgr.exe) içine enjekte ediyor. Bu yöntemle, herhangi bir isimde sahte bir antivirüs olarak sisteme kaydolabiliyor.
Defendnot başarıyla enjekte edilip kaydedildiğinde, Microsoft Defender anında devre dışı kalıyor. Ancak, Defendnot gerçek bir antivirüs programı olmadığı için, bu durum bilgisayarınızı virüslere ve diğer kötü amaçlı yazılımlara karşı savunmasız bırakıyor. Araç, her yeniden başlatmada aktif kalmak için Windows başlangıcına ekleniyor.
Microsoft Defendnot'u Truva Atı Olarak Sınıflandırdı
Meşru bir antivirüs programının bu şekilde taklit edilebilmesi biraz endişe verici olsa da, bu tür "araştırma projeleri", kötü niyetli aktörler tarafından istismar edilebilecek potansiyel güvenlik açıklarına karşı işletim sistemi üreticilerini uyarma potansiyeli taşıyor.
Ancak, eğer Defendnot aracını indirmeye çalışırsanız, Microsoft Defender'ın makine öğrenimi algoritmaları sayesinde bu aracı şimdiden bir Truva Atı olarak tespit edip karantinaya almaya başladığını göreceksiniz.
