Uma ferramenta emergente chamada Defendnot está chamando atenção por conseguir desativar o Microsoft Defender em máquinas com Windows, sem depender de um antivírus real instalado. O mecanismo por trás desse comportamento envolve o registro de um software antivírus fictício, enganando o sistema operacional por meio de uma API não documentada do Windows Security Center (WSC).
Essa API é geralmente usada por soluções antivírus legítimas para comunicar ao Windows que estão ativamente protegendo o sistema. Quando isso ocorre, o próprio sistema operacional desativa o Microsoft Defender para evitar conflitos entre múltiplas ferramentas de proteção.
A criação é assinada por es3n1n, um pesquisador que baseou o Defendnot em um projeto anterior chamado no-defender. O código anterior imitava o registro de um antivírus real, mas foi retirado do GitHub após uma notificação de violação de direitos autorais por parte de uma fornecedora de antivírus. Para contornar esse obstáculo legal, o Defendnot foi inteiramente reescrito, utilizando uma DLL fictícia construída do zero, eliminando dependências de código de terceiros.
Como o Defendnot burla a proteção do Windows Defender
Para realizar o registro falso, o Defendnot injeta sua DLL em um processo legítimo do Windows — o Taskmgr.exe —, que é assinado digitalmente pela Microsoft e, portanto, confiável pelo sistema. Essa injeção permite burlar restrições como o Protected Process Light (PPL), e registrar o antivírus falso com um nome de exibição personalizado.
Uma vez registrado, o Microsoft Defender é automaticamente desligado, deixando o sistema sem proteção ativa. A ferramenta também possui um carregador que utiliza um arquivo de configuração ctx.bin, permitindo definir nomes personalizados, ativar logs detalhados e controlar o registro da simulação.
Para garantir persistência, o Defendnot configura uma tarefa automática no Agendador do Windows, o que permite que ele seja executado toda vez que o usuário fizer login no sistema.
Embora tenha sido criado como um projeto de pesquisa, o Defendnot expõe vulnerabilidades sérias na forma como o Windows gerencia a proteção do sistema, revelando como processos confiáveis podem ser explorados para desativar mecanismos de segurança essenciais. Atualmente, o próprio Microsoft Defender passou a detectar e isolar o Defendnot sob o nome ‘Win32/Sabsik.FL.!ml’.
