Новый инструмент Defendnot, разработанный «белым хакером» es3n1n, использует недокументированный API «Центра безопасности Windows» (WSC) для отключения встроенного защитника Microsoft Defender. Этот API предназначен для регистрации антивирусных продуктов в системе: когда сторонний антивирус активируется, Windows автоматически выключает Defender, чтобы избежать конфликтов. Defendnot имитирует установку поддельного антивируса, который проходит все проверки системы, заставляя Defender прекратить работу. Для этого инструмент внедряет фиктивную антивирусную DLL в системный процесс Taskmgr.exe, подписанный Microsoft, что позволяет обойти защиту Protected Process Light (PPL) и требования к цифровым подписям.
После регистрации поддельного антивируса Defender мгновенно отключается, оставляя устройство без активной защиты. Defendnot также включает загрузчик, который считывает настройки из файла ctx.bin — например, позволяет задать имя фейкового продукта или включить детальное логирование. Для сохранения работоспособности инструмент создаёт задание в «Планировщике задач Windows», обеспечивая автозапуск при каждом входе в систему. Несмотря на исследовательский характер проекта, он демонстрирует, как злоумышленники могут эксплуатировать доверенные системные процессы для деактивации безопасности.
Microsoft уже помечает Defendnot как угрозу "Win32/Sabsik.FL.!ml;" и перемещает его в карантин. Однако история с защитником вызывает вопросы о его точности: в 2024 году пользователи жаловались, что Defender ошибочно определял обычный текстовый файл с фразой "This content is no longer available" как троян (Trojan:Win32/Casdet!rfn). Хотя сначала предполагали коллизию SHA-256, проблема оказалась глубже — только антивирусная система считала файл опасным. Эти случаи подчёркивают как уязвимости в механизмах защиты Windows, так и риски избыточной агрессивности детектирования.
