A zsenialitása miatt veszélyes – ez az eszköz átveri a Windowst, hogy kikapcsoljon minden védelmet

Új, a Windowst célzó, potenciálisan veszélyes eszközt fejlesztettek ki Defendnot néven – a megoldás egy hamis, és nem funkcionáló vírusirtóval veri át az operációs rendszert.

  • HVG HVG
A zsenialitása miatt veszélyes – ez az eszköz átveri a Windowst, hogy kikapcsoljon minden védelmet

Mint a Bleeping Computer írja, a trükk egy dokumentálatlan Windows Security Center (WSC) API-t (alkalmazásprogramozási interfészt) használ – amit a vírusirtó programok használnak – arra, hogy közöljék a Windows rendszerrel, telepítve van egy vírusirtó, és innentől az át is veszi a rendszer védelmét.

Csak hát nincs, a rendszer pedig így védtelen marad.

Ugyanis, amint ön telepít a gépére egy vírusirtót, az közli ezen API-n keresztül a rendszerrel, hogy a beépített Windows Defenderre már nincs szükség, átveszi tőle a stafétát. Az es3n1n nevű kutató által létrehozott Defendnot ezzel él vissza, és regisztrál egy hamis vírusirtót, ami megfelel a Windows összes validálási folyamatának.

Az eszköz egy korábbi, no-defender nevű projekten alapul, ami egy valódi vírusirtótól származó kódot használt a WSC API-regisztráció hamisítására. Ezt azonban eltávolították a GitGHubról a valódi fejlesztő letiltási kérelme után.

A Defendnot azonban már nem sért szerzői jogot, mivel a „funkcióit” a semmiből építették fel, elkészítve ezzel egy hamis vírusirtót. Ha ezt telepítik a rendszerre, a Windows beépített védelme, a Defender azonnal leáll.

Kitálalt a Microsoft: 5 Start menü, ami végül Stop menü lett a Windowsban

Szokatlan húzás a Microsofttól: megmutatták, mi az, ami már biztosan nem jelenik meg a Windowsban. Fotókon öt különböző Start menü, ami végül nem nyerte el a cég és a tesztelők tetszését.

Hogy a rendszer hosszútávon is védtelen maradjon, a csalárd álvírusirtó a Feladatkezelőben létrehoz egy automatikus indítást is, tehát a számítógép bekapcsolásakor mindig elindul – így kitartóan kijátszva a Windows Defendert.

A Bleeping Computer megjegyzi: a Defendnot voltaképpen egy kutatási projekt, de azt jól demonstrálja, hogy az egyes rendszerfunkciók hogyan manipulálhatók egyes biztonsági funkciók kikapcsolásához. Nem nehéz elképzelni egy támadást, amit ezzel a módszerrel kiviteleznek: a felhasználót egy csalárd linken keresztül veszik rá egy „mindent tudó” vírusirtó letöltésére és telepítésére, és látszólag meg is kapja a védelmet. Csak hát a háttérben az lenne a valóság, hogy a Windows Defender leáll, miközben nincs valós védelem, így sokkal könnyebben lehet rosszindulatú tevékenységeket végezni az eszközön.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

BrandLab

6 pontban arról, miért éri meg kiszervezni a bérszámfejtést
Rém hangosan és irtó közel, ráadásul óriási képernyőn
A textil második élete: hova dobhatjuk ki a használt ruháinkat és mi lesz belőlük?
2025 26. lapszám