Malware Dynamer wykorzystuje GodMode w Windowsie 10 do ataków

Malware Dynamer wykorzystuje GodMode w Windowsie 10 do ataków

Malware Dynamer wykorzystuje GodMode w Windowsie 10 do ataków
30.04.2016 17:25, aktualizacja: 30.04.2016 19:42

Nieodłącznym elementem większości artykułów dotyczących pierwszych kroków z Windowsem 10 publikowanych tuż po jego premierze, był opis trybu GodMode. Oprócz tego, że dostarcza on wiele wygodnych skrótów umożliwiających konfigurację, może także stanowić powód nie lada problemów.

Obraz

Tryb GodMode, czyli folder, w którym automatycznie pojawią się skróty do licznych opcji konfiguracyjnych, których nie sposób ot tak odnaleźć w którymś standardowych paneli sterowania. Aby utworzyć taki folder, wystarczy nadać mu nazwę: GodMode..

Jak jednak ustalili eksperci z MacAfee Labs, tryb GodMode może się obrócić przeciw końcowemu użytkownikowi. Wszystko to za sprawą malware Dynamer, który wykorzystuje analogiczny folder ze zmodyfikowaną ścieżką, w procesie dodania wpisu do rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dzięki niemu pozostaje on na dysku po kolejnych ponownych uruchomieniach komputera. Dynamer lokalizuje się w folderze %AppData%, a zmodyfikowany ciąg znaków wskazuje już na konkretny skrót znany z trybu GodMode, służący zdalnemu uruchamianiu aplikacji.

Obraz

Ponadto nie bez znaczenia jest także zastosowanie w ciągu nazwy com4 – jest on wykorzystywany przez Windows w celu oznaczania urządzeń i folderów, które nie mogą być usunięte zarówno w trybie graficznym Eksploratora, jak i przez interpreter poleceń. Wydawałoby się zatem, że malware pozostanie nieusuwalne, jednak znalazł się na to sposób:

> rd “\.%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Według ekspertów z McAfee, wystarczy wprowadzić powyższe polecenie w cmd.exe. W zależności od lokalizacji innych instancji Dynamera, wystarczy zmodyfikować ścieżkę.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (105)