Review sản phẩm
Trojan mới bảo vệ mới này có thể khiến Windows vô hiệu hóa phần mềm chống vi -rút của chính nó
Th5
Một nhà nghiên cứu được gọi là ES3N1N đã phát triển một công cụ có tên ARFORNOT có khả năng lừa máy tính Windows để vô hiệu hóa Microsoft Defender, khiến thiết bị hoàn toàn không được bảo vệ chống lại phần mềm độc hại.
Bằng cách đăng ký một sản phẩm chống vi-rút giả, bảo vệ đã thuyết phục Microsoft tắt phần mềm chống vi-rút tích hợp của mình để giữ cho bất kỳ xung đột nào xảy ra giữa hai chương trình bảo mật.
Như đã báo cáo bởi Máy tính ngủAn toàn có thể làm điều này ngay cả khi không có phần mềm chống vi-rút thực sự được cài đặt trên máy bằng cách sử dụng API không có giấy tờ trong Trung tâm bảo mật Windows (WSC)-cùng một loại được sử dụng bởi phần mềm chống vi-rút hợp pháp-để thông báo cho Windows rằng nó được cài đặt đúng và xử lý bảo vệ thời gian thực cho hệ thống.
Sau đó, sau một vài tuần sau khi phát hành, dự án đã nổ tung khá nhiều và tăng ~ 1,5 nghìn sao, sau đó các nhà phát triển của AntiVirus tôi đã sử dụng yêu cầu gỡ xuống DMCA và tôi không thực sự muốn làm bất cứ điều gì với điều đó vì vậy chỉ cần xóa mọi thứ và gọi nó là một ngày.
Nhà phát triển ES3N1N trong một bài đăng trên blog
Khi bước đăng ký hoàn tất, Hậu vệ sẽ ngay lập tức tự tắt để ngăn chặn mọi vấn đề, khiến máy tính không có bảo vệ chống vi -rút hoạt động. Công cụ ANCENTON cũng bao gồm một trình tải truyền dữ liệu cấu hình thông qua tệp ctx.bin, cho phép người dùng đặt tên của phần mềm chống vi -rút giả vào bất cứ thứ gì họ thích. Bảo vệ sẽ tạo ra một autorun thông qua lịch trình nhiệm vụ, vì vậy nó bắt đầu khi bạn đăng nhập vào Windows.
Nó dựa trên một dự án trước đó, nhà nghiên cứu đã gọi là No No Defender, đã đặt nền tảng bằng cách sử dụng mã từ phần mềm chống vi-rút của bên thứ ba để đăng ký Windows Security Center. Tuy nhiên, nhà cung cấp phần mềm đó đã nộp yêu cầu gỡ xuống DMCA, dẫn đến việc nó được lấy từ GitHub.
Bảo vệ, mặt khác, đã học được từ điều này và xây dựng chức năng chống vi-rút từ đầu thông qua một DLL giả, điều này không gây ra vi phạm bản quyền. Nó đưa DLL vào quy trình Microsoft System, TaskMgr.exe, được ký và đã được tin cậy. Trong quá trình này, nó có thể đăng ký chống vi -rút giả với bất kỳ tên hiển thị giả mạo nào.
Mặc dù đó là một dự án nghiên cứu, ARPERNONT cho thấy việc biến các tính năng hệ thống đáng tin cậy thành các vấn đề bảo mật dễ dàng như thế nào; Hiện tại, Microsoft Defender đang phát hiện và kiểm dịch bảo vệ như một Trojan dựa trên thuật toán học máy của chính nó.
Làm thế nào để giữ an toàn
Bởi vì Defendnot là một dự án nghiên cứu – và đã được bảo vệ cách ly – hiện tại nó không khiến bất kỳ hệ thống cụ thể nào gặp rủi ro. Cũng không có thông tin chi tiết về cách bảo vệ có thể hoạt động trên một máy tính đang chạy phần mềm chống vi-rút của bên thứ ba ngoài Windows Defender.
Điều đó đang được nói, những người dùng muốn mức độ bảo vệ tốt nhất cho PC Windows của họ phải luôn sử dụng một trong những chương trình phần mềm chống vi-rút tốt nhất và bảo vệ tích hợp do Windows Defender cung cấp. Các bộ bảo mật này thường cung cấp bảo vệ phần mềm độc hại tuyệt vời và thêm các tính năng như điều khiển của cha mẹ, VPN và trình quản lý mật khẩu có thể giúp bạn an toàn khi trực tuyến.
Thêm từ hướng dẫn của Tom
Xem chi tiết và đăng kýKhám phá thêm từ Phụ Kiện Đỉnh
Đăng ký để nhận các bài đăng mới nhất được gửi đến email của bạn.
