Специалисты McAfee Labs обнаружили новое семейство малвари — Dynamer. Авторы вредоноса используют для атак секретную функцию «режим бога» (GodMode), которая впервые появилась в операционных системах Microsoft во времена Windows Vista.

О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций. Необходимо создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. «GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.

В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.

Исследователи McAfee Labs обнаружили, что бекдор Dynamer использует GodMode для атак. Чтобы закрепиться в системе, малварь создает в реестре Windows запись, благодаря которой вредоносный процесс стартует при каждом запуске системы. Запись в реестре выглядит следующим образом:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога», что позволяет малвари нормально функционировать, но если попытаться открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, произойдет автоматическая переадресации в RemoteApp and Desktop Connections.

ss1-1

Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда. Именно из-за этого нюанса от Dynamer крайне трудно избавиться.

«Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству, что помешает пользователю удалить данную директорию через “Проводник” или командную строку», — поясняет Крейг Шмугар (Craig Schmugar).

ss6-1

ss7

Специалисты McAfee Labs всё же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

4 комментария

  1. Dark Hole

    30.04.2016 at 13:56

    «Изобрели» команду… просто удаляем папку, и все

  2. Dark Hole

    30.04.2016 at 14:06

    И вообще, мягко говоря, это GUID’ы специальных объектов Windows. Никак не «пасхалки» и «модификации GodMod’а». Я думаю, если ввести GUID Корзины — будет тоже самое.

  3. pokatusher

    04.05.2016 at 22:16

    Статью писали 13летние гуманитарии явно.

    «Хитрая команда» заключающаяся в том, что нужно удалять папку с подпапками. Лол.

  4. itjunky

    20.05.2016 at 14:47

    А я не ншёл редактора реестра в появившейся папке…

Оставить мнение