Режим бога в Windows снова «попался на горячем»

Автор: Владимир

Хоть «режим бога» и открывает перед пользователями дополнительные опции, то же самое он делает и для хакеров, которые с его помощью взламывают компьютеры. На этот раз специалисты McAfee Labs выявили новое семейство malware, получившее имя Dynamer. Для атаки на компьютеры оно использует GodMode в Windows.

Чтобы понять работу malware, нужно знать, как открыть доступ к «режиму бога». Для этого на рабочем столе создается папка с названием: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Первая часть «GodMode» не важна, поэтому ее можно изменить на любые символы.

Создание папки GodMode

Первое, что делает вирус, «закрепляется» в реестре с помощью записи:

KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Она помогает ему остаться на устройстве. Сам вирус при этом располагается в директории com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} в папке %AppData%.

Папка com4

Запись реестра использует видоизмененный GodMode, за счет чего вредоносное ПО стабильно работает. Но если пользователь решит открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, система автоматически перенаправит его в RemoteApp and Desktop Connections.

Открытие папки com4

Смена названия «GodMode» на «com4» не случайна. С помощью такого хода хакеры надеются, что их вредоносное ПО не удастся убрать из системы. И именно поэтому malware Dynamer сложно удалить с ПК.

Как рассказал Крейг Шмугар, в обычных Internet Explorer и cmd.exe невозможно использовать имя «com4» – это запрещено. ОС распознает эту директорию как подсоединенное устройство, поэтому юзер не сможет от нее избавиться ни в командной строке, ни в Проводнике.

Удаление папки com4 в командной строке

Удаление папки com4 в Проводнике

Но программистам McAfee Labs удалось найти метод удаления вируса с компьютера. Достаточно запустить на устройстве команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Популярное за неделю

Как настроить использование прописного шрифта в Ворде

Microsoft Word является одним из самых популярных текстовых редакторов, который предлагает широкий спектр возможностей для создания профессиональных документов. Одной из таких возможностей является использование...
2661
Windows 10

Срок действия инсайдерских Windows 10 истекает!

Официальный релиз Windows 10 Anniversary Update состоится 2 августа. Но уже сейчас некоторые инсайдеры Fast Ring получают уведомления, в которых сказано, что срок действия...
3169

Какой у меня адрес электронной почты

Названия почтовых сервисов, такие как yandex.ru, gmail.com, mail.ru, icloud.com, состоят из домена и логина, разделенных символом @. Например, ваше имя пользователя может быть super,...
2209
Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!