Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
1910

Хакеры эксплуатируют "пасхалку" в WINDOWS для внедрения вирусни

Специалисты McAfee Labs обнаружили новое семейство малвари — Dynamer. Авторы вредоноса используют для атак секретную функцию «режим бога» (GodMode), которая впервые появилась в операционных системах Microsoft во времена Windows Vista.
Хакеры эксплуатируют "пасхалку" в WINDOWS для внедрения вирусни Длиннопост, Хакеры, Взлом, Заражение, Режим бога, Вирус, Windows

О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций. Необходимо создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. «GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.


В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.


Исследователи McAfee Labs обнаружили, что бекдор Dynamer использует GodMode для атак. Чтобы закрепиться в системе, малварь создает в реестре Windows запись, благодаря которой вредоносный процесс стартует при каждом запуске системы. Запись в реестре выглядит следующим образом:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога», что позволяет малвари нормально функционировать, но если попытаться открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, произойдет автоматическая переадресации в RemoteApp and Desktop Connections.

Хакеры эксплуатируют "пасхалку" в WINDOWS для внедрения вирусни Длиннопост, Хакеры, Взлом, Заражение, Режим бога, Вирус, Windows

Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда. Именно из-за этого нюанса от Dynamer крайне трудно избавиться.


«Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству, что помешает пользователю удалить данную директорию через “Проводник” или командную строку», — поясняет Крейг Шмугар (Craig Schmugar).

Хакеры эксплуатируют "пасхалку" в WINDOWS для внедрения вирусни Длиннопост, Хакеры, Взлом, Заражение, Режим бога, Вирус, Windows
Хакеры эксплуатируют "пасхалку" в WINDOWS для внедрения вирусни Длиннопост, Хакеры, Взлом, Заражение, Режим бога, Вирус, Windows

Специалисты McAfee Labs всё же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:


> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

McAfee Labs https://blogs.mcafee.com/mcafee-labs/malware-takes-advantage...

Пост https://xakep.ru/2016/04/29/windows-godmode/

Длиннопост Хакеры Взлом Заражение Режим бога Вирус Windows
191
Все комментарии Автора