Hazte pasar por un antivirus y el sistema se rendirá: cómo engañar a Windows en dos clics

Una nueva herramienta llamada Defendnot, distribuida libremente en GitHub, es capaz de desactivar por completo Microsoft Defender en dispositivos con Windows, haciéndose pasar por un software antivirus. El método principal consiste en utilizar un mecanismo no estándar del Centro de Seguridad de Windows (WSC), diseñado para registrar antivirus. Cuando el sistema detecta que ya hay un antivirus instalado en el equipo, Defender se desactiva automáticamente para evitar conflictos. Sin embargo, en realidad, no se instala ningún otro antivirus en el sistema: se trata simplemente de un truco para desactivar la protección incorporada.

Esta característica fue aprovechada por el autor de Defendnot, conocido con el seudónimo es3n1n. Él creó una biblioteca que cumple formalmente con los requisitos del WSC y pasa con éxito las verificaciones de Windows. De este modo, el antivirus falso se registra como legítimo, y Microsoft Defender desactiva la protección en tiempo real sin hacer preguntas.

El precursor de Defendnot fue un proyecto llamado no-defender, en el que se utilizaba el código de un antivirus real para registrarse a través del WSC. Sin embargo, después de que ese proveedor de antivirus presentara una denuncia por DMCA, el proyecto tuvo que ser eliminado de GitHub. La nueva herramienta evitó problemas similares: fue creada completamente desde cero y utiliza una DLL ficticia que no infringe derechos de autor.

Para eludir las medidas de protección propias de Windows, como Protected Process Light (PPL) y la verificación de firmas digitales, Defendnot inyecta su biblioteca dentro del proceso del sistema de confianza «Taskmgr.exe». Esto permite eludir las restricciones y registrar sin problemas un antivirus ficticio, asignándole cualquier nombre visible.

Una vez registrado, Microsoft Defender se desactiva de inmediato. Como resultado, el dispositivo queda sin ninguna protección activa, lo que lo hace vulnerable a cualquier ataque. Para facilitar el ataque y mantener la persistencia en el sistema, Defendnot utiliza el Programador de tareas de Windows —el antivirus falso se ejecutará automáticamente en cada arranque del sistema.

La herramienta viene acompañada de un cargador que permite transmitir configuraciones a través del archivo «ctx.bin»: se puede especificar el nombre visible del antivirus, desactivar el registro y activar un registro detallado.

Aunque el autor presenta el proyecto como experimental, demuestra claramente cuán vulnerables pueden ser incluso los componentes de seguridad de confianza ante cierto nivel de acceso y manipulación.

Actualmente, Microsoft Defender ha comenzado a detectar y poner en cuarentena a Defendnot como una amenaza bajo el nombre «Win32/Sabsik.FL.!ml», lo que indica un intento de cerrar el canal para desactivar su protección, aunque la vulnerabilidad raíz —el mecanismo de confianza en el software registrado— permanece sin cambios.