Malware Dynamer wykorzystuje GodMode w Win 10 do ataków.

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24595
Miasto
Trololololo
Malware Dynamer wykorzystuje GodMode w Windowsie 10 do ataków.
Nieodłącznym elementem większości artykułów dotyczących pierwszych kroków z Windowsem 10 publikowanych tuż po jego premierze, był opis trybu GodMode. Oprócz tego, że dostarcza on wiele wygodnych skrótów umożliwiających konfigurację, może także stanowić powód nie lada problemów.
Tryb GodMode, czyli folder, w którym automatycznie pojawią się skróty do licznych opcji konfiguracyjnych, których nie sposób ot tak odnaleźć w którymś standardowych paneli sterowania. Aby utworzyć taki folder, wystarczy nadać mu nazwę: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}.

Jak jednak ustalili eksperci z MacAfee Labs, tryb GodMode może się obrócić przeciw końcowemu użytkownikowi. Wszystko to za sprawą malware Dynamer, który wykorzystuje analogiczny folder ze zmodyfikowaną ścieżką, w procesie dodania wpisu do rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dzięki niemu pozostaje on na dysku po kolejnych ponownych uruchomieniach komputera. Dynamer lokalizuje się w folderze %AppData%, a zmodyfikowany ciąg znaków wskazuje już na konkretny skrót znany z trybu GodMode, służący zdalnemu uruchamianiu aplikacji.
30.04.2016 17:25
BEZPIECZEŃSTWO

Nieodłącznym elementem większości artykułów dotyczących pierwszych kroków z Windowsem 10 publikowanych tuż po jego premierze, był opis trybu GodMode. Oprócz tego, że dostarcza on wiele wygodnych skrótów umożliwiających konfigurację, może także stanowić powód nie lada problemów.
image

Tryb GodMode, czyli folder, w którym automatycznie pojawią się skróty do licznych opcji konfiguracyjnych, których nie sposób ot tak odnaleźć w którymś standardowych paneli sterowania. Aby utworzyć taki folder, wystarczy nadać mu nazwę: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}.

Jak jednak ustalili eksperci z MacAfee Labs, tryb GodMode może się obrócić przeciw końcowemu użytkownikowi. Wszystko to za sprawą malware Dynamer, który wykorzystuje analogiczny folder ze zmodyfikowaną ścieżką, w procesie dodania wpisu do rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dzięki niemu pozostaje on na dysku po kolejnych ponownych uruchomieniach komputera. Dynamer lokalizuje się w folderze %AppData%, a zmodyfikowany ciąg znaków wskazuje już na konkretny skrót znany z trybu GodMode, służący zdalnemu uruchamianiu aplikacji.
image

Ponadto nie bez znaczenia jest także zastosowanie w ciągu nazwy com4 – jest on wykorzystywany przez Windows w celu oznaczania urządzeń i folderów, które nie mogą być usunięte zarówno w trybie graficznym Eksploratora, jak i przez interpreter poleceń. Wydawałoby się zatem, że malware pozostanie nieusuwalne, jednak znalazł się na to sposób:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Według ekspertów z McAfee, wystarczy wprowadzić powyższe polecenie w cmd.exe. W zależności od lokalizacji innych instancji Dynamera, wystarczy zmodyfikować ścieżkę.
info:dobreprogramy.pl
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry