“Windows 10警告:250M帐户接管木马禁用Windows Defender”

trickbot不是新的威胁，但是是迅速发展的威胁。 对windows 10客户来说，银行特洛伊木刀的最新变化是，不仅可以避免，还可以添加新的方法来实际禁用windows defender的安全性。

如报道7月14日福布斯，特里克·博托被认为特别是自隐蔽的银木马出现以来，试图散布恶意软件的比较有效的有效载荷损坏了2亿5千万以上的电子邮件账户。 这个比较有效载荷包括盗窃网上银行的证书和加密货币钱包。

在trickbot攻击活动中，微软始终是前沿和中心，武器化的word和excel文件是热门的方法。 在最新的活动中，与windows 10客户进行运行比较非常详细和有说服力，但是false365页面会提示您输入安装了木马的浏览器的更新。

禁用windows扩展器

但是，真正保密的东西，和trickbot现在是野外更危险的木马之一，依靠windows defender保护机器免受恶意软件威胁的windows 10客户有什么对比呢？ 这是一个共同的线索，至少在我们多年来看到的更多复杂的恶意软件中，为了逃避安全软件的检测，我们采用了各种各样的方法来防止不孕。

但是，trickbot除了检测windows defender外，还使用了17个以上的步骤完全禁用。

无论何时运行可靠的bleeping计算机报告，trickbot都会禁用和删除win defendend服务，终止与windows defender相关的流程，添加windows策略，windows defender

但是，这显然没有成功。 因为trickbot木马的开发者增加了windows defender保护windows 10客户免受此威胁的步骤。

根据bleeping computer的报告，研究人员malwarehunterteam和vitali kremez发现，对新发现的trickbot变种进行了逆向工程，在攻击武器库中又增加了10个途径， 这些方法使用注册表设置或set-MP首选项powershell命令设置windows defender首选项和bleeping计算机报告。

诡计机器人可以停止吗？

黑客john opdenakker表示，常用的最佳方法可以提供良好的缓解建议，例如阻止访问windows注册表，并确认客户默认没有管理员权限。 但是，opdenakker补充说，它依赖于特定恶意软件的当前高级别。 此外，路线引导似乎在运行后执行升级以获得更高的系统权限。

然后是applocker，包含在windows 10中，但似乎很少被普通客户部署。

微软官方文档显示，applocker可以帮助控制客户可以运行的应用程序和文件。 这些应用程序和文件包括可执行文件、脚本、windows installer文件、动态链接库( dll )、打包的应用程序、打包的应用程序

amtrust international的互联网安全人员ian thornton-trump表示，为什么越来越多的人考虑到app locker的安装和采用，避免只在端点运行许可软件

正如thornton-trump指出的那样，保护系统的常见经验法则为什么很容易实现？ 他最终得出结论，如果能加载字体，就能加载漏洞。

我联系了微软，要求他们就路线bot更改和接受windows 10客户的建议发表声明。 声明一到，我就更新这个故事。