Хоть «режим бога» и открывает перед пользователями дополнительные опции, то же самое он делает и для хакеров, которые с его помощью взламывают компьютеры. На этот раз специалисты McAfee Labs выявили новое семейство malware, получившее имя Dynamer. Для атаки на компьютеры оно использует GodMode в Windows.
Чтобы понять работу malware, нужно знать, как открыть доступ к «режиму бога». Для этого на рабочем столе создается папка с названием: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Первая часть «GodMode» не важна, поэтому ее можно изменить на любые символы.
Первое, что делает вирус, «закрепляется» в реестре с помощью записи:
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Она помогает ему остаться на устройстве. Сам вирус при этом располагается в директории com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} в папке %AppData%.
Запись реестра использует видоизмененный GodMode, за счет чего вредоносное ПО стабильно работает. Но если пользователь решит открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, система автоматически перенаправит его в RemoteApp and Desktop Connections.
Смена названия «GodMode» на «com4» не случайна. С помощью такого хода хакеры надеются, что их вредоносное ПО не удастся убрать из системы. И именно поэтому malware Dynamer сложно удалить с ПК.
Как рассказал Крейг Шмугар, в обычных Internet Explorer и cmd.exe невозможно использовать имя «com4» – это запрещено. ОС распознает эту директорию как подсоединенное устройство, поэтому юзер не сможет от нее избавиться ни в командной строке, ни в Проводнике.
Но программистам McAfee Labs удалось найти метод удаления вируса с компьютера. Достаточно запустить на устройстве команду:
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q