Вредоносное ПО использует режим Бога в Windows

Компания McAfee Labs обнаружила новое семейство вредоносного ПО, которое пользуется возможностями «Режима Бога» операционной системы Windows. Этот режим представляет собой код, появившийся в версии Windows Vista.

Компания McAfee Labs обнаружила новое семейство вредоносного ПО, которое пользуется возможностями «Режима Бога» операционной системы Windows. Этот режим представляет собой код, появившийся в версии Windows Vista. Он позволяет создавать папку, давать ей имя и помещать туда ярлыки настроек из панели управления. Достаточно просто создать папку и дать ей имя GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}, где вместо GodMode можно подставить любые символы.

McAfee обнаружила троян под названием Dynamer, который добавляет в реестр ключ, при каждой загрузке Windows автоматически загружающий вредоносный процесс. Клюсчсодержит видоизменённый режим Бога, который перенаправляет пользователей на объект панели управления «Подключения к удаленным рабочим столам и приложениям RemoteApp».

Microsoft относит Dynamer к троянам-бэкдорам, которые устанавливает соединение между инфицированным компьютером и сервером. Ключ реестра Dynamer выглядит следующим образом.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Вместо GodMode в названии папки ставится com4, что даёт хакерам некоторые выгоды. Такие имена обычно запрещены в проводнике и командной строке, в результате Windows относится к папке как к устройству, не давая удалять его. McAfee всё же нашла способ удаления: если троян находится в папке AppData, нужно в командной строке ввести команду

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

В случае размещения в другом месте нужно поменять путь до него.