Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

ХАКЕРЫ ЭКСПЛУАТИРУЮТ «ПАСХАЛКУ» В WINDOWS ДЛЯ ВНЕДРЕНИЯ МАЛВАРИ

Тема в разделе "Флейм", создана пользователем RALF, 12/5/16.

  1. RALF

    RALF Очень активный ползователь

    Сообщения:
    90
    Симпатии:
    0
    Специалисты McAfee Labs обнаружили новое семейство малвари — Dynamer. Авторы вредоноса используют для атак секретную функцию «режим бога» (GodMode), которая впервые появилась в операционных системах Microsoft во времена Windows Vista.

    О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций. Необходимо создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. «GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.

    В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.

    Исследователи McAfee Labs обнаружили, что бекдор Dynamer использует GodMode для атак. Чтобы закрепиться в системе, малварь создает в реестре Windows запись, благодаря которой вредоносный процесс стартует при каждом запуске системы. Запись в реестре выглядит следующим образом:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

    Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога», что позволяет малвари нормально функционировать, но если попытаться открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, произойдет автоматическая переадресации в RemoteApp and Desktop Connections.

    [​IMG]

    Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда. Именно из-за этого нюанса от Dynamer крайне трудно избавиться.

    «Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству, что помешает пользователю удалить данную директорию через “Проводник” или командную строку», — поясняет Крейг Шмугар (Craig Schmugar).

    [​IMG]

    [​IMG]

    Специалисты McAfee Labs всё же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:

    > rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
     
    #1 RALF, 12/5/16
(Вы должны войти или зарегистрироваться, чтобы разместить сообщение.)

Поделиться этой страницей