分(fēn)析者: John Rainier Navato   
 :

Application.Hacktool.DisableDefender.F (BITDEFENDER)

 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Potentially Unwanted Application

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
     

  • In the Wild:
    是的

  概要

它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

它会创建特定的注册表项以禁用(yòng)安(ān)全相关的应用(yòng)程序。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 457,984 bytes
报告日期: EXE
初始樣本接收日期: 2024年3月22日

新(xīn)病毒详细信息

它以文(wén)件的形式出现在系统中(zhōng),可(kě)能(néng)是其他(tā)恶意软件投放的,或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

安(ān)装(zhuāng)

它添加下列文(wén)件夹:

  • %Program Files%\DefenderControl

(注意: %Program Files% 是缺省的 Program Files 文(wén)件夹,通常位于 C:\Program Files。)

它植入下列文(wén)件:

  • %User Temp%\{Random Name}.tmp
  • {Malware File Path}\{Malware File Name}.ini
  • %System%\GroupPolicy\Machine\Registry.pol
  • %System%\GroupPolicy\gpt.ini
  • %Program Files%\DefenderControl\dControl.exe
  • %Program Files%\DefenderControl\dControl.ini
  • %Desktop%\DefenderControl.lnk

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。. %System% 是 Windows 的 system 文(wén)件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。. %Program Files% 是缺省的 Program Files 文(wén)件夹,通常位于 C:\Program Files。. %Desktop% 是当前用(yòng)户的桌面,通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT)、C:\Documents and Settings\{User Name}\桌面 (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\Desktop (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

它添加下列进程:

  • %Program Files%\Windows Defender\MSASCui.exe -> if the user opts to Open Security Center

(注意: %Program Files% 是缺省的 Program Files 文(wén)件夹,通常位于 C:\Program Files。)

其他(tā)系统修改

它添加下列注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Program Files%\DefenderControl\dControl.exe = 0

它会创建以下注册表项以禁用(yòng)安(ān)全相关的应用(yòng)程序:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiVirus = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\WinDefend
Start = 4

(Note: The default value data of the said registry entry is {User Preference}.)

它删除下列注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Enable Windows Defender option

其他(tā)详细信息

它添加下列注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Disable Windows Defender option

  解决方案

最小(xiǎo)扫描引擎: 9.800
SSAPI样式文(wén)件: 2.563.00
SSAPI样式发布日期: 2022年11月3日
N