El nuevo malware aprovecha el 'Modo Dios' de Windows para evadir la detección

modo de Dios

El ajuste del 'Modo Dios' de Windows le permite acceder rápidamente a una serie de funciones avanzadas: es un huevo de pascua útil que ha sido parte de Windows durante la última década. Sin embargo, los investigadores de McAfee ahora han detectado un malware que utiliza la misma carpeta para cambiar el nombre del truco para esconderse del usuario.

El Modo Dios no crea técnicamente capacidades adicionales en el sistema, como lo hizo su homónimo en los juegos de Doom. En su lugar, crea una colección de opciones útiles del panel de control en una 'carpeta'. No es una carpeta normal, aunque comienza como una. Después de crear una carpeta, le asigna un nombre como GodMode. {ED7BA470-8E54-465E-825C-99712043E01C}. Eso lo convierte en un enlace 'Modo Dios'. Ya no tendrá un icono de carpeta y, de hecho, el sistema trata estos directorios de forma diferente a una carpeta normal.

McAfee dicehay una nueva variante de un malware existente llamado Dynamer. Cuando se instala en un sistema, se implementa en el directorio AppData y se coloca en un directorio del panel de control maestro similar al Modo Dios. Si bien el Modo Dios es un ajuste del sistema comúnmente conocido, no es exactamente una característica documentada oficialmente. Muchas herramientas y aplicaciones no pueden acceder a los elementos que están ocultos dentro de estas pseudocarpetas, un lugar perfecto para que el malware se esconda.



Incluso si el usuario puede rastrear la ubicación del archivo del misterioso ejecutable, la carpeta modificada simplemente se vincula al elemento del panel de control RemoteApp y Desktop Connections sin nada de interés. El autor del malware llevó el engaño un paso más allá al usar el nombre de carpeta 'com4. {241D7C96-F8BF-4F85-B01F-E2B043341A4B}' Cualquier cosa con el nombre 'com4' tiene privilegios especiales en Windows; Explorer y cmd.exe tratan la carpeta como un dispositivo, por lo que es inmune a los comandos estándar de administración de archivos y consola.

Dinamer

Entonces, ciertamente parece que toda esperanza está perdida, pero no hay nada mágico o 'divino' en este malware. Solo se está aprovechando de algunas rarezas de Windows para confundir y desviar. Dynamer se puede eliminar en unos pocos pasos eliminando el proceso desde el Administrador de tareas. Luego, usando un símbolo del sistema, ingrese 'rd' \. \% Appdata% com4. {241D7C96-F8BF-4F85-B01F-E2B043341A4B} '/ S / Q.' Eso eliminará el directorio sin confirmación, eliminando el malware.

Esta no es la única vez que un malware ha utilizado las peculiaridades de Windows en su contra. Si esto se vuelve común, será interesante ver si Microsoft realiza cambios para evitar que este tipo de superdirectorios se creen tan fácilmente.

Copyright © Todos Los Derechos Reservados | 2007es.com