Microsoft อุดช่องทาง ไม่ให้มัลแวร์ปิดซอฟต์แวร์ Antivirus ได้ผ่าน Registry อีกต่อไป

Microsoft ได้อุดรอยรั่ว ที่มัลแวร์เคยสามารถแก้ไข Registry เพื่อสั่งปิด Defender หรือ Third-party Antivirus 

ตั้งแต่ Windows Vista เป็นต้นมาแอดมินของ Windows มีความสามารถใช้ Group Policy เพื่อสั่งปิด Defender หรือซอฟต์แวร์ป้องกันไวรัสจากค่ายอื่นได้  หรือก็คือเป็นการแก้ไข Registry ที่ชื่อ ‘DisableAntiSpyware’ นั่นเอง แต่เมื่อแอดมินทำได้มีหรือคนร้ายจะปล่อยให้รอดสายตา จึงมีการประยุกต์มัลแวร์ให้สามารถปรับแต่ง Registry นี้ได้ออกมาเรื่อยๆ เช่น TrickBot, Novter, Clop Ransomware, Ragnarok Ransomware และ AVCrypt Ransomware

ต่อมาใน Windows 10 1903 ทาง Microsoft ก็แก้เกมโดยการเพิ่มฟีเจอร์ที่ชื่อ Tamper Protection เพื่อกันการแก้ไขค่า Defender Setting ไม่ว่าจากโปรแกรมหรือ CLI หรือ Registry และ Group Policy อย่างไรก็ตามความพยายามยังไม่ประสบผลสำเร็จเพราะมัลแวร์ยังสามารถแก้ไขค่าใน DisableAntiSpyware Registry และรีบูตคอมเพื่อการปิดซอฟต์แวร์ แม้ว่าเครื่องนั้นจะเปิด Tamper Protection อยู่ก็ตาม

วันนี้ Microsoft กลั้นใจเด็ดขาดบอกว่าจะไม่ใช้และละเลยค่าใน DisableAntiSpyware เพื่อการปิดซอฟต์แวร์ป้องกันไวรัสอีกต่อไป 

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/malware-can-no-longer-disable-microsoft-defender-via-the-registry/