PUA.Win32.DefenderControl.B

2024年4月2日

分析者: John Rainier Navato

Application.Hacktool.DisableDefender.F (BITDEFENDER)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Potentially Unwanted Application
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

它会创建特定的注册表项以禁用安全相关的应用程序。

技术详细信息

文件大小: 457,984 bytes

报告日期: EXE

初始樣本接收日期: 2024年3月22日

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它添加下列文件夹：

%Program Files%\DefenderControl

(注意: %Program Files% 是缺省的 Program Files 文件夹，通常位于 C:\Program Files。)

它植入下列文件：

%User Temp%\{Random Name}.tmp
{Malware File Path}\{Malware File Name}.ini
%System%\GroupPolicy\Machine\Registry.pol
%System%\GroupPolicy\gpt.ini
%Program Files%\DefenderControl\dControl.exe
%Program Files%\DefenderControl\dControl.ini
%Desktop%\DefenderControl.lnk

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。. %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。. %Program Files% 是缺省的 Program Files 文件夹，通常位于 C:\Program Files。. %Desktop% 是当前用户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT)、C:\Documents and Settings\{User Name}\桌面 (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\Desktop (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

它添加下列进程：

%Program Files%\Windows Defender\MSASCui.exe -> if the user opts to Open Security Center

(注意: %Program Files% 是缺省的 Program Files 文件夹，通常位于 C:\Program Files。)

其他系统修改

它添加下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Program Files%\DefenderControl\dControl.exe = 0

它会创建以下注册表项以禁用安全相关的应用程序:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiVirus = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1

(Note: The default value data of the said registry entry is {User Preference}.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\WinDefend
Start = 4

(Note: The default value data of the said registry entry is {User Preference}.)

它删除下列注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Enable Windows Defender option

其他详细信息

它添加下列注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Disable Windows Defender option

解决方案

最小扫描引擎: 9.800

SSAPI样式文件: 2.563.00

SSAPI样式发布日期: 2022年11月3日