Режим бога в Windows снова «попался на горячем»

Автор: Владимир

Хоть «режим бога» и открывает перед пользователями дополнительные опции, то же самое он делает и для хакеров, которые с его помощью взламывают компьютеры. На этот раз специалисты McAfee Labs выявили новое семейство malware, получившее имя Dynamer. Для атаки на компьютеры оно использует GodMode в Windows.

Чтобы понять работу malware, нужно знать, как открыть доступ к «режиму бога». Для этого на рабочем столе создается папка с названием: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Первая часть «GodMode» не важна, поэтому ее можно изменить на любые символы.

Создание папки GodMode

Первое, что делает вирус, «закрепляется» в реестре с помощью записи:

KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Она помогает ему остаться на устройстве. Сам вирус при этом располагается в директории com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} в папке %AppData%.

Папка com4

Запись реестра использует видоизмененный GodMode, за счет чего вредоносное ПО стабильно работает. Но если пользователь решит открыть папку com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, система автоматически перенаправит его в RemoteApp and Desktop Connections.

Открытие папки com4

Смена названия «GodMode» на «com4» не случайна. С помощью такого хода хакеры надеются, что их вредоносное ПО не удастся убрать из системы. И именно поэтому malware Dynamer сложно удалить с ПК.

Как рассказал Крейг Шмугар, в обычных Internet Explorer и cmd.exe невозможно использовать имя «com4» – это запрещено. ОС распознает эту директорию как подсоединенное устройство, поэтому юзер не сможет от нее избавиться ни в командной строке, ни в Проводнике.

Удаление папки com4 в командной строке

Удаление папки com4 в Проводнике

Но программистам McAfee Labs удалось найти метод удаления вируса с компьютера. Достаточно запустить на устройстве команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Популярное за неделю

Как узнать что телефон прослушивается? Признаки

Многие люди обеспокоены тем, что их мобильные телефоны могут прослушиваться или прослушивать без их ведома. Но как именно происходит прослушивание или слежка за телефоном?...
57
Код 495: что за оператор и какой регион

Код 495: что за оператор и какой регион

На территории России действуют разные телефонные коды. И для того, чтобы дозвониться до нужного абонента, важно знать определённую комбинацию цифр. Мы расскажем сегодня про...
2628
Задняя панель Xiaomi Mi 11 Lite

Появилась точная информация о Xiaomi Mi 11 Lite

Все еще не указана дата анонса флагмана бюджетной категории от Xiaomi, однако появились кадры Mi 11 Lite на подставке с описанием технических данных. Съемку...
22312
Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!