Используя "режим бога" злоумышленники распространяют вредоносное ПО Dynamer


McAfeeЭксперты компании McAfee Labs установили, что злоумышленники атакуют пользователей ОС Windows с помощью вредоносного ПО Dynamer, используя так называемый "режим бога".

"God Mode" ("режим бога") - функция, которая позволяет создавать папки с особыми названиями, обеспечивающие быстрый доступ к отдельным настройкам компьютера.

Напомним, корпорация Microsoft, начиная с Windows Vista, поставляет данное семейство операционных систем с так называемым "режимом бога".

Получить доступ к размешенным в таких папках файлам Windows Explorer довольно сложно, т.к. они не открываются как обычные папки, а, скорее, перенаправляют пользователя. В McAfee Labs утверждают, что последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Вредонос закрепляется в системе, создавая запись в реестре Windows, при этом имя исполняемого файла является динамическим:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Данная запись позволяет Dynamer нормально функционировать. Однако, если пользователь попытается открыть папку

  • com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B},

он автоматически будет перенаправлен на RemoteApp and Desktop Connections.

Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени "com4". Эксперты объясняют, что использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не давая пользователю удалить директорию.

Не смотря на это избавиться от папки можно, выполнив команду

  • > rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”
    /S /Q.

Обновлено (29.04.2016 23:43)