Как сообщают эксперты McAfee Labs, злоумышленники начали использовать «режим бога» в Windows для атак с помощью вредоносного ПО Dynamer.
«Режим бога» («God Mode») в Windows позволяет создавать папки с особыми названиями, которые обеспечивают быстрый доступ к отдельным настройкам компьютера. Доступ к размешенным в таких папках файлам Windows Explorer получить не просто, потому что они открываются не так, как обычные папки, а, скорее, перенаправляют пользователя. По данным McAfee Labs, последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Создавая запись в реестре Windows (имя исполняемого файла является динамическим), вредонос закрепляется в системе:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Данная запись позволяет Dynamer нормально функционировать, однако, если пользователь попытается открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, он будет автоматически перенаправлен на RemoteApp and Desktop Connections.Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени «com4». Как разъясняют эксперты, использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не позволяя владельцу ПК удалить директорию.
Для того, чтобы избавиться от папки, следует выполнить команду:
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”
/S /Q.
