Злоумышленники используют «режим бога» в Windows для распространения вредоносного ПО

Начиная с Vista, Windows поставляется с «пасхалкой» - так называемым «режимом бога» («God Mode»). Эта функция позволяет создавать папки с особыми названиями, обеспечивающие быстрый доступ к отдельным настройкам компьютера. Как сообщают эксперты McAfee Labs, злоумышленники стали использовать «режим бога» для атак с помощью вредоносного ПО Dynamer.

Получить доступ к размешенным в таких папках файлам Windows Explorer довольно сложно, потому что они открываются не так, как обычные папки, а, скорее, перенаправляют пользователя. По данным McAfee Labs, последний вариант Dynamer устанавливается в одной из таких папок в %AppData%. Вредонос закрепляется в системе, создавая запись в реестре Windows (имя исполняемого файла является динамическим):

	 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  	 lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe 

Данная запись позволяет Dynamer нормально функционировать, однако, если пользователь попытается открыть папку

com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}, он будет автоматически перенаправлен на RemoteApp and Desktop Connections.

Разработчики вредоноса попытались сделать эту директорию постоянной, добавив в начало имени «com4». Как поясняют эксперты, использовать подобное имя в нормальном Windows Explorer и cmd.exe запрещено. Windows будет относиться к такой папке как к устройству, тем самым не давая пользователю удалить директорию.

Как бы то ни было, но избавиться от папки можно. Для этого следует выполнить команду

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”

/S /Q.