Режим бога в Windows снова «попался на горячем»

Хоть «режим бога» и открывает перед пользователями дополнительные опции, то же самое он делает и для хакеров, которые с его помощью взламывают компьютеры. На этот раз специалисты McAfee Labs выявили новое семейство malware, получившее имя Dynamer. Для атаки на компьютеры оно использует GodMode в Windows.

Чтобы понять работу malware, нужно знать, как открыть доступ к «режиму бога». Для этого на рабочем столе создается папка с названием: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Первая часть «GodMode» не важна, поэтому ее можно изменить на любые символы.

Создание папки GodMode

Первое, что делает вирус, «закрепляется» в реестре с помощью записи:

KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Она помогает ему остаться на устройстве. Сам вирус при этом располагается в директории com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} в папке %AppData%.

Папка com4

Запись реестра использует видоизмененный GodMode, за счет чего вредоносное ПО стабильно работает. Но если пользователь решит открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, система автоматически перенаправит его в RemoteApp and Desktop Connections.

Открытие папки com4

Смена названия «GodMode» на «com4» не случайна. С помощью такого хода хакеры надеются, что их вредоносное ПО не удастся убрать из системы. И именно поэтому malware Dynamer сложно удалить с ПК.

Как рассказал Крейг Шмугар, в обычных Internet Explorer и cmd.exe невозможно использовать имя «com4» — это запрещено. ОС распознает эту директорию как подсоединенное устройство, поэтому юзер не сможет от нее избавиться ни в командной строке, ни в Проводнике.

Удаление папки com4 в командной строке

Удаление папки com4 в Проводнике

Но программистам McAfee Labs удалось найти метод удаления вируса с компьютера. Достаточно запустить на устройстве команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Хороший сайт? Может подписаться?

Рассылка новостей из мира IT, полезных компьютерных трюков, интересных и познавательных статей. Всем подписчикам бесплатная компьютерная помощь.

Комментарии