Разработчики знаменитого банковского трояна TrickBot постоянно совершенствуют свою программу. В этот раз киберпреступники «натравили» TrickBot на Защитника Windows (Windows Defender). Многие пользователи полагаются именно на Windows Defender, поскольку это встроенный в Windows 10 антивирус.
После запуска этой версии TrickBot троян выполняет следующие шаги:
- Отключает, а затем удаляет службу WinDefend.
- Завершает процессы MsMpEng.exe, MSASCuiL.exe и MSASCui.exe.
- Добавляет политику Windows DisableAntiSpyware и активирует ее для отключения Защитника Windows и других программ.
- Отключает уведомления безопасности в Windows.
- Отключает защиту в режиме реального времени.
Этим банковский троян не ограничился. По словам экспертов MalwareHunterTeam, которые провели обратный инжиниринг TrickBot, вредонос использует целых 12 дополнительных методов для отключения Windows Defender и Microsoft Defender APT.
