{"id":23998,"date":"2025-07-25T16:52:05","date_gmt":"2025-07-25T19:52:05","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23998"},"modified":"2025-07-25T16:52:05","modified_gmt":"2025-07-25T19:52:05","slug":"defendnot-disables-microsoft-defender-on-windows","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/defendnot-disables-microsoft-defender-on-windows\/23998\/","title":{"rendered":"Antiv\u00edrus de Schr\u00f6dinger: a prote\u00e7\u00e3o est\u00e1 ativa ou inativa?"},"content":{"rendered":"

Atualmente, muitas empresas adotam a pol\u00edtica BYOD (Bring Your Own Device, Traga seu pr\u00f3prio dispositivo)<\/a>, permitindo que os funcion\u00e1rios utilizem seus pr\u00f3prios dispositivos para realizar tarefas relacionadas ao trabalho. Essa pr\u00e1tica \u00e9 especialmente comum em organiza\u00e7\u00f5es que adotam o trabalho remoto. O BYOD traz muitas vantagens \u00f3bvias, mas sua implementa\u00e7\u00e3o cria novos riscos para as empresas em termos de seguran\u00e7a cibern\u00e9tica.<\/p>\n

Para proteger os sistemas contra amea\u00e7as, os departamentos de seguran\u00e7a da informa\u00e7\u00e3o frequentemente exigem a instala\u00e7\u00e3o de softwares de seguran\u00e7a em todos os dispositivos utilizados para o trabalho. Ao mesmo tempo, alguns funcion\u00e1rios, especialmente os especialistas em tecnologia, podem considerar o software antiv\u00edrus mais como um obst\u00e1culo do que como uma ajuda.<\/p>\n

Certamente n\u00e3o \u00e9 a atitude mais sensata, mas convenc\u00ea-los do contr\u00e1rio pode ser dif\u00edcil. A maior dificuldade reside no fato de que funcion\u00e1rios que se consideram mais capacitados podem conseguir burlar o sistema. Hoje, investigamos um m\u00e9todo desse tipo: uma nova ferramenta de pesquisa chamada Defendnot<\/a>, que desativa o Microsoft Defender em dispositivos Windows ao registrar um software antiv\u00edrus falso.<\/p>\n

Como o m\u00e9todo no-defender<\/em> abriu caminho usando antiv\u00edrus falso para desativar o Microsoft Defender<\/h2>\n

Para entender exatamente como o Defendnot desativa o Microsoft Defender, precisamos voltar um ano no tempo. Naquela \u00e9poca, um pesquisador com nome de usu\u00e1rio es3n1n<\/a> no X (antigo Twitter) criou e publicou a primeira vers\u00e3o da ferramenta no GitHub. Chamado no-defender<\/a>, o m\u00e9todo tinha como objetivo desabilitar o antiv\u00edrus nativo do Windows Defender.<\/p>\n

Para realizar essa tarefa, es3n1n explorou uma vulnerabilidade na API do Windows Security Center (WSC). Por meio dele, o software antiv\u00edrus informa ao sistema que est\u00e1 instalado e pronto para come\u00e7ar a proteger o dispositivo em tempo real. Ao receber essa mensagem, o Windows desativa automaticamente o Microsoft Defender para evitar conflitos entre diferentes solu\u00e7\u00f5es de seguran\u00e7a em execu\u00e7\u00e3o no mesmo dispositivo.<\/p>\n

Baseando-se no c\u00f3digo de uma solu\u00e7\u00e3o de seguran\u00e7a pr\u00e9-existente, o pesquisador criou um antiv\u00edrus falso que foi registrado no sistema e passou por todas as verifica\u00e7\u00f5es do Windows. Uma vez desativado o Microsoft Defender, o dispositivo ficou desprotegido, j\u00e1 que o no-defender n\u00e3o oferecia nenhuma prote\u00e7\u00e3o pr\u00f3pria.<\/p>\n

O projeto no-defender rapidamente conquistou seguidores no GitHub, onde recebeu mais de duas mil estrelas. No entanto, a empresa desenvolvedora do antiv\u00edrus, cujo c\u00f3digo foi reutilizado, apresentou uma den\u00fancia por viola\u00e7\u00e3o da Lei de Direitos Autorais do Mil\u00eanio Digital (DMCA)<\/a>. Dessa forma, es3n1n foi obrigado a excluir o c\u00f3digo do projeto do GitHub, mantendo apenas a p\u00e1gina de descri\u00e7\u00e3o.<\/p>\n

Como o Defendnot sucedeu o no-defender<\/h2>\n

Mas a hist\u00f3ria n\u00e3o termina a\u00ed. Quase um ano depois, o programador neozeland\u00eas MrBruh<\/a> incentivou es3n1n a desenvolver uma vers\u00e3o do no-defender que n\u00e3o dependesse de c\u00f3digo de terceiros. Motivado pelo desafio e pela priva\u00e7\u00e3o de sono, es3n1n desenvolveu uma nova ferramenta em quatro dias<\/a>, que recebeu o nome de Defendnot.<\/p>\n

O componente central do Defendnot era uma DLL stub que se apresentava como um antiv\u00edrus leg\u00edtimo. Para ignorar todas as verifica\u00e7\u00f5es da API WSC (incluindo Protected Process Light (PPL), assinaturas digitais e outros mecanismos), o Defendnot injeta sua DLL no Taskmgr.exe, que \u00e9 assinado e j\u00e1 considerado confi\u00e1vel pela Microsoft. A ferramenta registra o antiv\u00edrus falso, fazendo com que o Microsoft Defender seja desativado imediatamente, deixando o dispositivo sem prote\u00e7\u00e3o ativa.<\/p>\n

Al\u00e9m disso, o Defendnot permite que o usu\u00e1rio atribua qualquer nome ao \u201cantiv\u00edrus\u201d. De forma similar ao projeto anterior, este alcan\u00e7ou grande destaque no GitHub, acumulando 2.100 estrelas at\u00e9 a data de publica\u00e7\u00e3o. Para proceder com a instala\u00e7\u00e3o do Defendnot, \u00e9 necess\u00e1rio que o usu\u00e1rio disponha de permiss\u00f5es de administrador (comuns entre funcion\u00e1rios em seus dispositivos pessoais).<\/p>\n

Como proteger a infraestrutura corporativa do uso indevido da pol\u00edtica BYOD<\/h2>\n

Tanto Defendnot quanto no-defender s\u00e3o considerados projetos de pesquisa, mostrando como \u00e9 poss\u00edvel manipular mecanismos de confian\u00e7a do sistema para desativar suas fun\u00e7\u00f5es de prote\u00e7\u00e3o. A conclus\u00e3o \u00e9 \u00f3bvia: voc\u00ea nem sempre pode confiar no que o Windows diz.<\/p>\n

Portanto, para n\u00e3o colocar em risco a infraestrutura digital de sua empresa, recomendamos refor\u00e7ar sua pol\u00edtica de BYOD com v\u00e1rias medidas de seguran\u00e7a adicionais:<\/p>\n