Нов малуер се възползва от God Mode режима в Windows

0
19
Malware


Режимът God Mode в Windows е удобна скрита функция, която дава достъп до някои скрити възможности и е на разположение на потребителите от около десетилетие.

Изследователи от McAfee обаче са открили малуер, който се възползва от God Mode режима, който използва същата папка и по този начин се скрива от потребителя.

Режимът God Mode технически не създава допълнителни възможности на операционната система, както в играта Doom, откъдето е взето името, а просто добавя удобни скрити функции на разположение на потребителя в контролния панел.

За да има достъп до God Mode потребителят трябва да създаде нова папка и да ѝ даде име GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Така вече папката не е обикновена папка, вече не е с икона на папка и операционната система третира подобни папки по различен начин. Много инструменти и приложения не могат да достъпват файловете, които се намират в тези псевдо-папки и по всичко личи, че това е едно чудесно място, където може да се скрие един малуер, вирус или всякакъв друг зловреден код.

Според съобщение от McAfee има нов малуер, който се казва Dynamer. Той се разполага в директорията AppData и се появява в контролния панел, точно както God Mode. дори и потребителят да разбере по някакъв начин, че това е малуер и да го проследи докъде води, модифицираната папка препраща обратно към RemoteApp и Desktop Connections в контролния панел.

Авторът на малуера също така е постъпил много хитро като е кръстил папката „com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}“. Всеки един обект с „com.4“ получава специални привилегии от операционната система. Файловият мениджър Explorer и cmd.exe третират тази папка като устройство, което автоматично я предпазва от изтриване:

Прочетете още:  Излезе Windows 10 Redstone билд 14295

Нов малуер се възползва от God Mode режима в Windows 4

Засега Dynamer не е опасен и създава само смущение и объркване в потребителя, както и може да бъде премахнат много лесно. Трябва да се изпълни само тази команда в cmd:

“rd “\.%appdata%com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q.”

Тази команда ще изтрие псевдо-папката без потвърждение, елиминирайки малуера.

Засега Dynamer е единичен случай, в който се подхожда по подобен начин, но е интересно, ако зачестят подобни случаи дали от Microsoft ще предприемат мерки, които да ограничат създаването на тези супер директории по толкова лесен начин.

0/5 (0 Reviews)
Абониране
Извести ме за
guest
0 Comments
Inline Feedbacks
View all comments