Microsoft อุดช่องทาง ไม่ให้มัลแวร์ปิดซอฟต์แวร์ Antivirus ได้ผ่าน Registry อีกต่อไป

Microsoft ได้อุดรอยรั่ว ที่มัลแวร์เคยสามารถแก้ไข Registry เพื่อสั่งปิด Defender หรือ Third-party Antivirus 

ตั้งแต่ Windows Vista เป็นต้นมาแอดมินของ Windows มีความสามารถใช้ Group Policy เพื่อสั่งปิด Defender หรือซอฟต์แวร์ป้องกันไวรัสจากค่ายอื่นได้  หรือก็คือเป็นการแก้ไข Registry ที่ชื่อ ‘DisableAntiSpyware’ นั่นเอง แต่เมื่อแอดมินทำได้มีหรือคนร้ายจะปล่อยให้รอดสายตา จึงมีการประยุกต์มัลแวร์ให้สามารถปรับแต่ง Registry นี้ได้ออกมาเรื่อยๆ เช่น TrickBot, Novter, Clop Ransomware, Ragnarok Ransomware และ AVCrypt Ransomware

ต่อมาใน Windows 10 1903 ทาง Microsoft ก็แก้เกมโดยการเพิ่มฟีเจอร์ที่ชื่อ Tamper Protection เพื่อกันการแก้ไขค่า Defender Setting ไม่ว่าจากโปรแกรมหรือ CLI หรือ Registry และ Group Policy อย่างไรก็ตามความพยายามยังไม่ประสบผลสำเร็จเพราะมัลแวร์ยังสามารถแก้ไขค่าใน DisableAntiSpyware Registry และรีบูตคอมเพื่อการปิดซอฟต์แวร์ แม้ว่าเครื่องนั้นจะเปิด Tamper Protection อยู่ก็ตาม

วันนี้ Microsoft กลั้นใจเด็ดขาดบอกว่าจะไม่ใช้และละเลยค่าใน DisableAntiSpyware เพื่อการปิดซอฟต์แวร์ป้องกันไวรัสอีกต่อไป 

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/malware-can-no-longer-disable-microsoft-defender-via-the-registry/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NetApp เปิดทดสอบบริการ Backup สำหรับ Google Cloud NetApp Flex service level

NetApp ได้เพิ่มความสามารถ Backup สำหรับกลุ่มผู้ใช้ Google Cloud NetApp ในบริการแบบ Flex

Acronis เปิดตัว Agentless Backup สำหรับ Nutanix AHV

Acronis ได้นำเสนอการสำรองข้อมูลในระบบ Nutanix AHV ได้โดยไม่ต้องมี Agent ติดตั้งแต่ละ Client แค่มี Virtual Appliance ใน AHV Cluster เท่านั้น