Hay una nueva herramienta que está dando de qué hablar: se llama DefendNot y puede desactivar Microsoft Defender en computadoras con Windows. ¿Lo curioso? Lo hace haciendo creer al sistema que ya hay otro antivirus instalado, aunque en realidad no haya ninguno.
¿Cómo lo logra? Usando un truco algo técnico pero muy ingenioso: se aprovecha de una API interna del Centro de Seguridad de Windows, la misma que usan los antivirus reales para avisarle a Windows que están al mando de la protección del equipo.
Cuando Windows "piensa" que ya hay otro antivirus trabajando, automáticamente apaga Microsoft Defender para evitar que choquen entre ellos. Y ahí es donde DefendNot entra en acción: engaña al sistema para que apague su propio antivirus sin levantar sospechas.
Cómo DefendNot engaña a Windows para apagar Microsoft Defender
La herramienta DefendNot, creada por el investigador conocido como es3n1n, hace algo bastante ingenioso: se hace pasar por un antivirus falso, pero tan bien hecho que Windows se lo cree sin dudar. Esto lo logra abusando de una API interna del sistema, superando todas las verificaciones que normalmente harían saltar las alarmas.
Esta idea no salió de la nada. En realidad, DefendNot está inspirado en un proyecto anterior llamado no-defender, que usaba partes del código de un antivirus real para engañar a Windows. Ese proyecto, sin embargo, tuvo que desaparecer de GitHub después de que la empresa detrás del antivirus original enviara una queja legal (una solicitud de eliminación DMCA).
Según cuenta el propio creador en su blog: “Unas semanas después de lanzar no-defender, el proyecto empezó a ganar popularidad y llegó a unas 1.500 estrellas. Luego, los desarrolladores del antivirus cuyo código usé enviaron una DMCA, y la verdad... no quería complicarme, así que borré todo y lo dejé ahí”.
Aprendida la lección, DefendNot se construyó desde cero, esta vez sin usar código de terceros. En lugar de copiar a otro antivirus, crearon su propia DLL falsa, que cumple con todo lo que Windows espera ver.
Ahora, normalmente, esta API que gestiona la seguridad del sistema está bien protegida: requiere procesos especiales (llamados Protected Process Light), firmas digitales válidas y otras medidas de seguridad. Pero DefendNot encontró la forma de saltarse esas barreras: inyecta su código dentro de un proceso de confianza del sistema, como Taskmgr.exe (el administrador de tareas), que ya está firmado por Microsoft. Desde ahí, puede registrar el antivirus falso sin que Windows sospeche nada.
¿El resultado? En cuanto ese "antivirus fantasma" queda registrado, Microsoft Defender se apaga automáticamente, dejando el dispositivo sin ninguna protección activa.
DefendNot registrado en un dispositivo (Fuente: BleepingComputer)
DefendNot también viene con un pequeño cargador que usa un archivo llamado ctx.bin para pasarle configuraciones personalizadas. Con eso, puedes elegir el nombre del antivirus falso que quieres usar, desactivar el registro (log) o incluso activar un modo de registro detallado para ver todo lo que está haciendo la herramienta.
Y por si fuera poco, para que siga funcionando cada vez que enciendas la computadora, configura una tarea automática en el Programador de tareas de Windows. Así, se ejecuta solito cuando inicias sesión, sin que tengas que hacer nada.
Aunque DefendNot se presenta como un proyecto de investigación, lo cierto es que demuestra cómo se pueden aprovechar funciones legítimas del sistema para desactivar la seguridad del equipo. Es una especie de recordatorio de que incluso las herramientas más confiables pueden usarse de formas inesperadas.
Por suerte, Microsoft Defender ya está detectando y bloqueando a DefendNot, marcándolo como una amenaza bajo el nombre 'Win32/Sabsik.FL.!ml' y poniéndolo en cuarentena automáticamente.
