Malware Dynamer wykorzystuje GodMode w Windowsie 10 do ataków
Nieodłącznym elementem większości artykułów dotyczących pierwszych kroków z Windowsem 10 publikowanych tuż po jego premierze, był opis trybu GodMode. Oprócz tego, że dostarcza on wiele wygodnych skrótów umożliwiających konfigurację, może także stanowić powód nie lada problemów.
Tryb GodMode, czyli folder, w którym automatycznie pojawią się skróty do licznych opcji konfiguracyjnych, których nie sposób ot tak odnaleźć w którymś standardowych paneli sterowania. Aby utworzyć taki folder, wystarczy nadać mu nazwę: GodMode..
Jak jednak ustalili eksperci z MacAfee Labs, tryb GodMode może się obrócić przeciw końcowemu użytkownikowi. Wszystko to za sprawą malware Dynamer, który wykorzystuje analogiczny folder ze zmodyfikowaną ścieżką, w procesie dodania wpisu do rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Dzięki niemu pozostaje on na dysku po kolejnych ponownych uruchomieniach komputera. Dynamer lokalizuje się w folderze %AppData%, a zmodyfikowany ciąg znaków wskazuje już na konkretny skrót znany z trybu GodMode, służący zdalnemu uruchamianiu aplikacji.
Ponadto nie bez znaczenia jest także zastosowanie w ciągu nazwy com4 – jest on wykorzystywany przez Windows w celu oznaczania urządzeń i folderów, które nie mogą być usunięte zarówno w trybie graficznym Eksploratora, jak i przez interpreter poleceń. Wydawałoby się zatem, że malware pozostanie nieusuwalne, jednak znalazł się na to sposób:
> rd “\.%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
Według ekspertów z McAfee, wystarczy wprowadzić powyższe polecenie w cmd.exe. W zależności od lokalizacji innych instancji Dynamera, wystarczy zmodyfikować ścieżkę.
