Win10系统警告：特洛伊木马可以禁用Windows Defender

 Trickbot并不是一种新的威胁，但它是一种不断发展的威胁。就win10用户而言，银行特洛伊木刀的最新变化是增加了新方法，不仅可以逃避，还可以实际禁用windows Defender安全保护。

正如7月14日在福布斯报道的那样，Trickbot是一种特别隐蔽的银行木马，自2016年以来一直存在。从那以后，它被认为已经破解了不少于2.5亿个电子邮件帐户，以分发恶意软件负载。该有效载荷包括窃取在线银行凭证和加密货币钱包。

就Trickbot攻击活动而言，微软一直是前沿和中心，武器化的Word和Excel文件是一种受欢迎的方法。最新的广告系列针对的是windows 10用户，并实施了一个非常详细且令人信服但却假冒的Office 365页面，以提示安装特洛伊木马本身的浏览器更新。

禁用windows Defender

但真正隐秘的东西，以及标志着Trickbot现在是野外更危险的特洛伊木马之一，是它如何针对依赖windows Defender保护其机器免受恶意软件威胁的windows 10用户。它是一个共同的线索，至少在多年来看到的更复杂的恶意软件中，使用各种方法来逃避安全软件的检测，从而防止被绝育。

然而，Trickbot正在增加额外的恶意软件里程，并且它不仅会检测windows Defender，而且还会采用不少于17个步骤来尝试完全禁用它。

永远可靠的Bleeping计算机报告一旦执行，Trickbot会尝试禁用和删除winDefend服务，终止与windows Defender关联的进程，添加windows策略以禁用windows Defender，禁用windows Defender实时保护并禁用安全通知。

然而，这显然不够成功，因此Trickbot特洛伊木马的开发人员现在已经添加了更多步骤来阻止windows Defender保护windows 10用户免受此威胁。

Bleeping Computer的报告显示，研究人员MalwareHunterTeam和Vitali Kremez对一种新发现的Trickbot变种进行了逆向工程，并发现它已经为攻击武器库增加了十几种方法。 这些方法使用注册表设置或Set-MpPreference PowerShell命令来设置windows Defender首选项，Bleeping Computer报告。

Trickbot可以停止吗？

道德黑客John Opdenakker表示，一般的最佳做法，例如阻止访问windows注册表并确保用户默认没有管理员权限，可以提供良好的缓解建议。但是，它确实取决于特定恶意软件当前的高级程度，Opdenakker补充说，并且Trickbot似乎会在执行后执行提升以获得更高的系统权限。

然后是AppLocker，它包含在win10中，但似乎很少被普通用户部署。

根据Microsoft官方文档，AppLocker可帮助您控制用户可以运行的应用程序和文件。这些应用程序和文件包括可执行文件，脚本，windows Installer文件，动态链接库（DLL），打包应用程序和打包的应用程序安装程序。

Amtrust International的网络安全负责人Ian Thornton-Trump表示，考虑到AppLocker的安装和可用，我只是不明白为什么更多的人不使用它只允许授权软件在端点上运行。

正如Thornton-Trump所指出的那样，保护系统的一般经验法则是为什么要轻松实现？并且他得出结论毕竟，如果你可以加载一个字体，那么你可以加载一个漏洞。

我还指出，windows防篡改会阻止尝试通过注册表修改windows Defender设置，并且默认情况下处于打开状态。这应该可以防止Trickbot使用的大多数新步骤生效。

Vitali Kremez是负责Trickbot逆向工程的研究人员之一，他证实了它可以有效地禁用windows Defender。但是，Kremez还告诉我它并没有真正绕过windows 10上的篡改保护，这意味着只要没有禁用它，windows 10上的用户应该相对安全地禁用windows Defender。

Kremez警告说TrickBot有更多的持久性手段和方法可以保持不被发现，所以这不应该被视为windows 10用户的通行证。那些已经禁用篡改保护，可能避免与第三方安全应用程序发生冲突的人肯定会面临风险。

Kremez也告诉我，福布斯的文章和它所引用的DeepInstinct报告，指的是2.5亿个受到侵害的电子邮件帐户是不正确的。 我们之前发现它的方式，Kremez说，并补充说TrickBot小组没有妥协2.65亿（实际数量）的电子邮件帐户，而是他们收集了那些电子邮箱。