Mint a Bleeping Computer írja, a trükk egy dokumentálatlan Windows Security Center (WSC) API-t (alkalmazásprogramozási interfészt) használ – amit a vírusirtó programok használnak – arra, hogy közöljék a Windows rendszerrel, telepítve van egy vírusirtó, és innentől az át is veszi a rendszer védelmét.
Csak hát nincs, a rendszer pedig így védtelen marad.
Ugyanis, amint ön telepít a gépére egy vírusirtót, az közli ezen API-n keresztül a rendszerrel, hogy a beépített Windows Defenderre már nincs szükség, átveszi tőle a stafétát. Az es3n1n nevű kutató által létrehozott Defendnot ezzel él vissza, és regisztrál egy hamis vírusirtót, ami megfelel a Windows összes validálási folyamatának.
Az eszköz egy korábbi, no-defender nevű projekten alapul, ami egy valódi vírusirtótól származó kódot használt a WSC API-regisztráció hamisítására. Ezt azonban eltávolították a GitGHubról a valódi fejlesztő letiltási kérelme után.
A Defendnot azonban már nem sért szerzői jogot, mivel a „funkcióit” a semmiből építették fel, elkészítve ezzel egy hamis vírusirtót. Ha ezt telepítik a rendszerre, a Windows beépített védelme, a Defender azonnal leáll.
Hogy a rendszer hosszútávon is védtelen maradjon, a csalárd álvírusirtó a Feladatkezelőben létrehoz egy automatikus indítást is, tehát a számítógép bekapcsolásakor mindig elindul – így kitartóan kijátszva a Windows Defendert.
A Bleeping Computer megjegyzi: a Defendnot voltaképpen egy kutatási projekt, de azt jól demonstrálja, hogy az egyes rendszerfunkciók hogyan manipulálhatók egyes biztonsági funkciók kikapcsolásához. Nem nehéz elképzelni egy támadást, amit ezzel a módszerrel kiviteleznek: a felhasználót egy csalárd linken keresztül veszik rá egy „mindent tudó” vírusirtó letöltésére és telepítésére, és látszólag meg is kapja a védelmet. Csak hát a háttérben az lenne a valóság, hogy a Windows Defender leáll, miközben nincs valós védelem, így sokkal könnyebben lehet rosszindulatú tevékenységeket végezni az eszközön.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.