"Defendnot" killt MS Defender

[petzi]

Ist das Panikmache oder was?
Wie so viele bin ich auch der Meinung, MS Defender reicht vollkommen. Doch nun berichten Medien von einem "Hackertool", welches den Defender mittels einer eingebauten Funktion abdrehen kann.
"Defendnot" gaukelt dem Defender vor, dass eh ein anderes AV-Tool aktiv ist und der schaltet sich dann ja ab.

Was meint ihr dazu?

 

[BFF]

Kann wohl sein. @petzi
Andererseits wird es auch „Tools“ geben welche AV die nicht von MS ist „abschalten“ oder sogar Alle.

Was nun?

 

[zeaK]

Andere AV-Tools deaktivieren dir ebenso den Defender - über die gleiche Funktion. Ist also nichts Neues sondern Panikmache.
Sonst müsste der Defender immer aktiv sein und das wäre kontraproduktiv.

 

[petzi]

wird es auch „Tools“ geben welche AV die nicht von MS ist

Klar. Doch mir genügt der Defender

Was nun?

Signaturen updaten. Sollte reichen, da MS meint "Problem erkannt - Problem gebannt"

Andere AV-Tools deaktivieren dir ebenso den Defender - über die gleiche Funktion

Stimmt. Genau das nützt "Defendnot" aus.

nichts Neues sondern Panikmache.

Naja, neu ist, dass "Defendnot" eben kein anderes AV Tool ist, sondern die Absicht verfolgt, den Defender zu killen. Und evtl. weitere Sachen anstellen könnte.

 

[Zer0DEV]

defendnot, und auch dessen Vorgänger no-defender, sind Tools um Schlangenöl zu deaktivieren.
Damit Sicherheitslösungen "Sicherheit" anbieten (vorgaukeln) können, müssen Sie auf elementare Funktionen auf Kernelebene zugreifen können.

Wer keinen Defender, aber eben auch kein anderes nutzen möchte, der nutzt eben defendnot.
Und bekanntlich kann der Defender ja nicht wirklich deaktiviert werden, außer mit solchen Tools.

 

[PC295]

Ist das Panikmache oder was?

Nein, nur eine Bestätigung wie fraglich die Sicherheit um den Defender ist.
Man nutzt hierfür eine Schwachstelle aus und simuliert einfach ein anderes AV, damit der Defender automatisch deaktiviert wird.

Microsoft Reaktion darauf ist (bisher) nur, dass es das Tool als "Trojaner" einstuft.
-> https://winfuture.de/news,151018.html

 

[zeaK]

Microsoft Reaktion darauf ist (bisher) nur, dass es das Tool als "Trojaner" einstuft.
-> https://winfuture.de/news,151018.html

Reicht das nicht? Wenn jemand bewusst ein Programm zulässt was als Trojaner eingestuft ist der will es ja offensichtlich nicht anders?

 

[PC295]

Reicht das nicht?

Nein, weil man die Manipulation soweit treiben kann, dass der Nutzer davon nichts merkt.

 

[tomgit]

Nein, nur eine Bestätigung wie fraglich die Sicherheit um den Defender ist.

Naja, kann man so sehen, kann man aber auch anders sehen. Möchte nicht wissen, wie groß das Gezeter wäre, wenn der Defender sich trotz anderem AV nicht deaktivieren ließe. Ist in meinen Augen eher eine notwendige Funktion.

defendnot, und auch dessen Vorgänger no-defender, sind Tools um Schlangenöl zu deaktivieren.

Bei den minimalen Ressourcen, welche der Defender im Hintergrund wenn überhaupt belegt, ist eher die Frage, was überhaupt das Schlangenöl ist. Security ist wichtig, insbesondere mit den ganzen Einfallstoren, die es überall gibt.
Wer wirklich das Maximum an Leistung von seinen Systemen rausholen mag, ist ohnehin mit Windows an der falschen Adresse. Daher verstehe ich das Gezetere um den Defender wirklich null.

 

[petzi]

wie groß das Gezeter wäre, wenn der Defender sich trotz anderem AV nicht deaktivieren ließe

Naja, ich würde das halt nicht automatisch deaktivieren lassen.
Jedes andere, echte AV-Tool wird ja erkennen, ob ein verwandtes Tool (zB eben der Defender) läuft und sollte darauf hinweisen, dass man den bitte selber deaktivieren sollte.

Daher verstehe ich das Gezetere um den Defender wirklich null

Ich wollte nur auf das momentane Medienecho hinweisen.

 

[Funkenschlag]

Ich würde mich ja eher fragen wie die Process Injection für dieses Tool über den TaskManager so einfach erfolgen kann. Also eine ganz andere Baustelle. Halbherziges beseitigen von Sicherheitslücken wieder von Microsoft. Problem behoben, ursprüngliche Ursache wird erst einmal gekonnt ignoriert

 

[Smily]

OK, eine Schwachstelle. Aber als ob alle anderen keine hätten. Es ist der Job von Hackern genau das auszunutzen.
Wenns jemand drauf anlegt, schaltet der jedes AV aus.
Der erste Fehler, sowas überhaupt auf den PC zu lassen.

Man könnte das Thema wahrscheinlich für alle anderen AV auch erstellen.

Die Medien stürzen sich drauf, weil sie auch keine Ahnung haben und man schön Panik verbreiten kann. So wie immer.

 

[zeaK]

Nein, weil man die Manipulation soweit treiben kann, dass der Nutzer davon nichts merkt.

Wie wäre denn solch ein Szenario?

 

[petzi]

Der erste Fehler, sowas überhaupt auf den PC zu lassen

Frage mich auch, wie dieses "Defendnot" überhaupt reinkommt.

Die Medien stürzen sich drauf, weil sie auch keine Ahnung haben und man schön Panik verbreiten kann

Ich bin, seit analogen Zeiten, selber Medienbetreiber, Journalist, ... uvam. in der Branche. Daher ja, stimmt, so sind die eben ...
Tatsächlich hat mich die Chefredakteurin eines "meiner" Medien darauf aufmerksam gemacht und man wolle was machen. "Aber nicht ohne die Auskenner nach deren Meinung zu fragen", habe ich gesagt. Was ich hiermit tue.

 

[BFF]

Andererseits wird es auch „Tools“ geben welche AV die nicht von MS ist „abschalten“ oder sogar Alle.

Nein, nur eine Bestätigung wie fraglich die Sicherheit um den Defender ist.

Eher wie es generell um die "Sicherheit bestellt ist.

Machen wir uns doch nix vor. "Viren" sind seit Ewigkeiten nicht mehr das "Boese".

Und das o.G. Ding muss aktiv auf die Kiste gebracht werden.

 

[areiland]

ursprüngliche Ursache wird erst einmal gekonnt ignoriert

Was ist denn die ursprüngliche Ursache?

Naja, ich würde das halt nicht automatisch deaktivieren lassen.
Jedes andere, echte AV-Tool wird ja erkennen, ob ein verwandtes Tool (zB eben der Defender) läuft und sollte darauf hinweisen, dass man den bitte selber deaktivieren sollte.

Was dann so mancher ganz gekonnt ignoriert, beide Lösungen parallel laufen lässt und sich über so ziemlich viele Merkwürdigkeiten und Konflikte wundert. Nö das ist eben nicht die Lösung, sondern die derzeitige ist der bessere Weg, nämlich eine einheitliche Schnittstelle an die alle AV Lösungen andocken und damit den vorherigen Echtzeitschutz deaktivieren.

Dass das auch mal zu Missbrauch führt ist unvermeidlich, denn hundertprozentige Sicherheit gibts nicht.

Ausserdem darf der Antivirenschutz niemals als unüberwindliche Barriere verstanden werden. Sondern immer als allerletzte Bastion, die sich in die Bresche wirft, wenn der der Maus und Tastatur bedient unaufmerksam war und Mist gebaut hat. Denn auch sowas wie Defendnot kommt nicht aus dem Nichts auf den Rechner geflogen, sondern weil der Nutzer des Rechners irgendwas aus ungeprüften Quellen heruntergeladen hatte und es dann auf gut Glück installiert hat.

 

[JumpingCat]

Nein, nur eine Bestätigung wie fraglich die Sicherheit um den Defender ist.

Wie sollte es deiner Meinung nach besser funktionieren?

 

[PC295]

@JumpingCat Indem MS den Taskmanager und den Defender selbst gegen solche Manipulationen stärkt.

 

[Smily]

Machen wir uns doch nix vor. "Viren" sind seit Ewigkeiten nicht mehr das "Boese".

Wenn ich in den Firmen Spam-Filter für 120 Mail Adressen schaue, dann ist da 3x pro Woche ein Virus drin.
Was jeden Tag, keine Ahnung, 30x drin ist:

• dein Mail Konto, Bank App usw. läuft ab, gibt hier Passwort ein
• angeblich von Hersteller XY: Bitte ändern Sie unsere Bankverbindung und überweisen sie die nächsten Rechnung dahin (geht dann halt garantiert nicht zum Hersteller)

Scheiß auf aufwendige Viren, es ist viel einfacher die Dummheit der User auszunutzen. Ne Mail an 1000 Adressen zu schicken kostet nichts, kommt dann wirklich ne Überweisung an, hat der Scamer fix ein paar Tausend Euro.

Social engineering ist heute die Gefahr, Vieren sind fast tot, viel zu aufwendig und teuer.
Und vor Scam hilft am einfachsten Gehirn anschalten.

Ergänzung (22. Mai 2025)

Aber klar sollte Microsoft das schnell ändern!

 

[Sinatra81]

"Microsoft hat bereits reagiert und klassifiziert Defendnot als Trojaner. Die aktuelle Version von Windows Defender erkennt die Software automatisch mithilfe von Machine-Learning-Algorithmen und setzt diese unter Quarantäne."

WinFuture