Для распространения вредоносного ПО злоумышленники используют «режим бога»

Как сообщают эксперты McAfee Labs, злоумышленники начали использовать «режим бога» в Windows для атак с помощью вредоносного ПО Dynamer.

«Режим бога» («God Mode») в Windows позволяет создавать папки с особыми названиями, которые обеспечивают быстрый доступ к отдельным настройкам компьютера. Доступ к размешенным в таких папках файлам Windows Explorer получить не просто, потому что они открываются не так, как обычные папки, а, скорее, перенаправляют пользователя. По данным McAfee Labs, последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Создавая запись в реестре Windows (имя исполняемого файла является динамическим), вредонос закрепляется в системе:

	 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
	 lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Данная запись позволяет Dynamer нормально функционировать, однако, если пользователь попытается открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, он будет автоматически перенаправлен на RemoteApp and Desktop Connections.Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени «com4». Как разъясняют эксперты, использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не позволяя владельцу ПК удалить директорию.

Для того, чтобы избавиться от папки, следует выполнить команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”

/S /Q.

Источник http://www.securitylab.ru/

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*