Defendnot è il malware che disattiva Microsoft Defender con un antivirus fantoccio

Defendnot è il malware che disattiva Microsoft Defender con un antivirus fantoccio

Defendnot, realizzato dal ricercatore es3n1n, sfrutta un’API non documentata di Windows Security Center per registrare un antivirus fittizio e indurre la disattivazione di Microsoft Defender, lasciando il sistema privo di protezione

di pubblicata il , alle 08:24 nel canale Sicurezza
Windows
 

"Defendnot" è il nome di uno strumento,  realizzato dal ricercatore es3n1n, che riesce a disattivare Microsoft Defender sui dispositivi Windows operando la registrazione di un antivirus fittizio, anche quando non è installato alcun software antivirus reale.

La tecnica sviluppata da es3n1n sfrutta un'API non documentata di Windows Security Center che è utilizzata dagli antivirus per comunicare al sitema operativo di essere attivi e di assumersi la "responsabilità" della protezione in tempo reale del dispositivo. La registrazione di un antivirus in Windows innesca legittimamente la disattivazione automatica di Defender per evitare conflitti derivanti dall’esecuzione simultanea di più soluzioni di sicurezza sullo stesso sistema. Defendnot, come facilmente si può immaginare, abusa di questa API registrando un finto antivirus che però riesce a superare tutti i controlli di validazione messi in campo da Windows.

es3n1n ha sviluppato Defendnot sulla base di un progetto precedente chiamato no-defender, che faceva uso di codice di un antivirus di terze parti per simulare la registrazione con WSC. no-defender era stato condiviso su GitHub e poi rimosso a seguito di una richiesta da parte del fornitore dell'antivirus originale per violazione del Digital Millennium Copyright Act. Defendnot fa uso invece di una DDL antivirus "dummy" senza nessun riferimento a codice proprietario, implementando da zero le funzionalità desiderate ed evitando problemi di violazione di diritto d'autore.

L'API Windows Security Center è protetta da una serie di misure come Protected Process Light, il controllo sulle firme digitali e altri meccanismi che assicurino la legittimità delle richieste. Defendnot riesce però ad aggirare questi controlli iniettando la propria DLL nel processo di sistema Taskmgr.exe, e da lì riesce a registrare il finto antivirus utilizzando un nome fasullo.

La registrazione causa l'immediata disattivazione di Windows Defender, con il sistema che resta di conseguenza completamente sprovvisto di protezione attiva. Lo strumento include un loader che carica i dati di configurazione da un file ctx.bin e permette in questo modo di impostare il nome dell’antivirus, disabilitare la registrazione e attivare il logging dettagliato.

Defendnot è inoltre in grado di mantenere persistenza grazie alla creazione di un'attività nel Task Scheduler di Windows per potersi avviare automaticamente ad ogni accesso utente. Lo strumento, che di fatto è considerato come un progetto di ricerca, mostra la possibilità di manipolare funzionalità di sistema legittime e "fidate" per riuscire a disattivare meccanismi di sicurezza.

Microsoft Defender sembra ora capace di rilevare e mettere in quarantena Defendnot.

I migliori sconti su Amazon oggi
-19%

Apple iPhone 16 Pro 128 GB: Telefono 5G con Controllo fotocamera, Dolby Vision 4K a 120 fps e un’autonomia senza precedenti. Compatibile con AirPods; Titanio naturale

1239.00 999.00 Compra ora
-54%

LG OLED evo 55'', Serie G4 2024, OLED55G45LW, Smart TV 4K, Staffa a muro inclusa, Processore

2399.00 1109.00 Compra ora
-54%

Apple iPhone 16 Pro 256 GB: Telefono 5G con Controllo fotocamera, Dolby Vision 4K a 120 fps e un’autonomia senza precedenti. Compatibile con AirPods; Titanio naturale

1360.00 Compra ora
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD19 Maggio 2025, 08:56 #1
Vero che ora siamo nel 2025 e le cose son cambiate, ma a me avevano insegnato a non usare mai i programmi preinstallati e/o quelli usati dalla maggioranza perche' sono quelli presi di mira maggiormente e di usare alternative. Per antivirus, per quanto detto, sempre usato alternative famose.
Grazie mille per articolo.
matsnake8619 Maggio 2025, 09:07 #2
Il problema non è tanto quello. Le alternative famose che dici tu fanno tutte più o meno bene al pari di defender.

In questo caso si va sfruttare la vulnerabilità più grossa di ogni sistema. L'utente.
Che invogliato magari dal cuggino a scaricarsi un'alternativa si tira giù un malware mascherato da antivirus che poi può fare qualunque cosa una volta avuto accesso da admin al sistema.

Nel normale uso di windows, defender + il firewall di widows sono più che sufficienti a fornire una protezione adeguata al sistema.
vash7919 Maggio 2025, 09:26 #3
Originariamente inviato da: matsnake86
In questo caso si va sfruttare la vulnerabilità più grossa di ogni sistema. L'utente.


prima cosa che ci è stata spiegata al corso di informatica, il problema maggiore sta tra la sedia e la tastiera.
Ho avuto clienti che, nonostante la notifica dell'AV su un virus in un allegato email, mi hanno chiamato perchè volevano aprirlo per capire che tipo di allegato fosse......

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^