ابزار جدیدی به نام Defendnot توانسته با سوءاستفاده از یک قابلیت مخفی در ویندوز، نرم‌افزار Microsoft Defender را غیرفعال کند؛ حتی در شرایطی که هیچ آنتی‌ویروسی روی سیستم نصب نیست. این ابزار توسط محققی به نام es3n1n توسعه یافته و بر پایه پروژه قبلی به نام no-defender ساخته شده که پس از دریافت شکایت DMCA از گیت‌هاب حذف شده بود.

Defendnot با استفاده از رابط امنیتی WSC (Windows Security Center API)، یک آنتی‌ویروس جعلی را در سیستم ثبت می‌کند. طبق رفتار معمول ویندوز، اگر آنتی‌ویروس دیگری شناسایی شود، Microsoft Defender به‌صورت خودکار خاموش می‌شود تا از تداخل در عملکردها جلوگیری شود. این ابزار با ایجاد یک DLL جعلی که تمام بررسی‌های ویندوز را پشت سر می‌گذارد، این رفتار را تقلید می‌کند.

نکته قابل توجه اینکه این ابزار برای دور زدن کنترل‌های امنیتی، فایل DLL خود را به فرایند Taskmgr.exe (ابزار مدیریت وظایف ویندوز) تزریق می‌کند که قبلاً توسط مایکروسافت امضا و تأیید شده است. به این ترتیب، سیستم به راحتی نرم‌افزار جعلی را به عنوان یک آنتی‌ویروس واقعی می‌پذیرد.

بعد از ثبت موفقیت‌آمیز، Microsoft Defender فوراً غیرفعال می‌شود و دستگاه بدون هیچ‌گونه محافظت فعال باقی می‌ماند. این ابزار حتی از طریق Task Scheduler نیز قابلیت اجرا در هر بار ورود کاربر به سیستم را دارد.

هرچند Defendnot به عنوان یک پروژه تحقیقاتی معرفی شده، اما نشان می‌دهد چگونه می‌توان از ساختارهای مورد اعتماد ویندوز برای خاموش‌کردن ابزارهای امنیتی استفاده کرد. مایکروسافت هم‌اکنون این ابزار را با عنوان Win32/Sabsik.FL.!ml شناسایی و قرنطینه می‌کند.