競合するウイルス対策製品に置き換えることなくWindows Defenderを無効にしたい人のために、新しいツールが登場しました。開発者兼リバースエンジニアのes3n1n氏が最近、この新しいツール「Defendnot」をリリースしました。このソフトウェアは、未公開のWindowsセキュリティセンター(WSC)APIを利用して、他のウイルス対策ソフトウェアが有効になっていることをOSに通知し、Windows Defenderを巧みに無効化します。
Defendnotの開発について論じたブログ記事で、es3n1nは新しいツールを紹介し、1年前にリリースされた自社のno-defenderツールの代替ツールであることを強調しています。Defendnotの前身は、既存のアンチウイルス製品のサードパーティコードを再利用することでWindows Defenderを無効化していました。当然のことながら、DCMAの削除要請を受けました…。Defendnotは、以前のプロジェクトの「ドナー」アンチウイルス製品を使用しない「クリーンな実装」を作成しようとする試みから始まりました。WSCは(公式に)ドキュメント化されていないため、これは容易ではありませんでした。
その後約3日間、es3n1nは数々の策略を経て、偽のアンチウイルスDLLを既に署名済みで信頼されているWindowsタスクマネージャープロセス(Taskmgr.exe)に挿入することで、Defendnotツールを巧妙に改良しました。これにより、偽アンチウイルスツールを任意の名前で登録できるようになります。Bleeping ComputerのレポーターがDefendnotを使って「 BleepingComputer Antivirus」という偽アンチウイルスを作成し、さらに面白おかしく仕組んだことが分かります。
Defendnot が挿入され登録されると、Microsoft Defender は直ちにシャットダウンします。Defendnot アプリは実際にはアンチウイルスプログラムではないため、リアルタイム スキャナーが有効になっていないため、ウイルスなどのマルウェアに感染する危険性があります。再起動後も新しい「アンチウイルス」と WSC の影響を維持するため、Defendnot は Windows の自動実行に追加されます。
マイクロソフトはDefendnotをトロイの木馬に分類している
正規のアンチウイルスプログラムがこのように偽装されるというのは少々恐ろしいことですが、「研究プロジェクト」として、MicrosoftのようなOSメーカーに対し、悪意のある人物に悪用される可能性のある潜在的な脆弱性を事前に警告しています。もしあなたが今日Defendnotツールをダウンロードしたとしても、MicrosoftのDefenderは機械学習アルゴリズムに基づいてこれをトロイの木馬として検出し、隔離する機能を既に開始しています。
Google ニュースで Tom's Hardware をフォローすると、最新のニュース、分析、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることを楽しんでいます。
