Пасхалка для малвари

О существовании в Windows функции GodMode известно давно. Чтобы активировать «режим бога», нужно всего лишь создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. «GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя. В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.

Исследователи McAfee Labs обнаружили, что новое семейство малвари — Dynamer — использует эту функцию для проведения атак. Чтобы закрепиться в системе, малварь создает в реестре Windows запись вида:


 


HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run lsm = C:/Users/admin/AppData/Roaming/com4.{241D7C96-F8BF-4F85-B01FE2B043341A4B}/ lsm.exe


 


Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда: именно из-за этого нюанса от Dynamer крайне трудно избавиться. Как поясняет сотрудник McAfee Labs Крейг Шмугар, использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено, поэтому операционная система относится к такой папке как к устройству, что мешает пользователю удалить ее через проводник или командную строку.

Отправить
Добавить

Нет комментариев