PUA.Win32.DefenderControl.B
Application.Hacktool.DisableDefender.F (BITDEFENDER)
Windows
Threat Type:
Potentially Unwanted Application
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Crea determinadas entradas de registro para deshabilitar aplicaciones relativas a la seguridad.
TECHNICAL DETAILS
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Agrega las carpetas siguientes:
- %Program Files%\DefenderControl
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Infiltra los archivos siguientes:
- %User Temp%\{Random Name}.tmp
- {Malware File Path}\{Malware File Name}.ini
- %System%\GroupPolicy\Machine\Registry.pol
- %System%\GroupPolicy\gpt.ini
- %Program Files%\DefenderControl\dControl.exe
- %Program Files%\DefenderControl\dControl.ini
- %Desktop%\DefenderControl.lnk
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Escritorio y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Desktop).)Agrega los procesos siguientes:
- %Program Files%\Windows Defender\MSASCui.exe -> if the user opts to Open Security Center
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Program Files%\DefenderControl\dControl.exe = 0
Crea las siguientes entradas de registro para deshabilitar aplicaciones relativas a la seguridad:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1
(Note: The default value data of the said registry entry is {User Preference}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiVirus = 1
(Note: The default value data of the said registry entry is {User Preference}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1
(Note: The default value data of the said registry entry is {User Preference}.)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\WinDefend
Start = 4
(Note: The default value data of the said registry entry is {User Preference}.)
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Enable Windows Defender option
Otros detalles
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender → if user chose Disable Windows Defender option