ابزار جدیدی به نام “Defendnot” قابلیت غیرفعال کردن Microsoft Defender در دستگاه‌های ویندوز را دارد. این ابزار با ثبت یک محصول آنتی‌ویروس جعلی از طریق API غیرمستند Windows Security Center (WSC) عمل می‌کند و باعث می‌شود ویندوز به طور خودکار Microsoft Defender را برای جلوگیری از تداخل غیرفعال کند.

ابزار Defendnot که توسط محقق es3n1n ساخته شده، با تزریق DLL خود به فرآیند سیستمی Taskmgr.exe که دارای امضای دیجیتال معتبر مایکروسافت است، محدودیت‌های امنیتی Protected Process Light (PPL) را دور می‌زند. پس از ثبت آنتی‌ویروس جعلی، Microsoft Defender فوراً خود را خاموش کرده و دستگاه بدون هیچ حفاظت فعالی باقی می‌ماند. این ابزار همچنین قابلیت ماندگاری از طریق Windows Task Scheduler دارد و در حال حاضر توسط Microsoft Defender به عنوان تهدید شناسایی و قرنطینه می‌شود.