بدافزار Dynamer و قابلیت Windows God Mode
ارسال شده: دوشنبه می 02, 2016 11:43 am
http://sheedantivirus.ir/1395/02/11/%D8 ... -god-mode/
سیستم عامل Windows دارای قابلیتی پنهان است که به کاربر امکان می دهد از یک پوشه با نام خاص به عنوان میانبر به تنظیمات Windows و پوشه های ویژه ای همچون Control Panel،وMy Computer و یا پوشه های مربوط به چاپگر استفاده کند.
این قابلیت که با نام های All Tasks Folder و God Mode شناخته می شود از Vista و نسخه های بعد از آن در سیستم عامل Windows اضافه شد.
God Mode از آن جهت قابلیتی پنهان دانسته می شود که که در مستندات شرکت مایکروسافت به آن اشاره ای نشده است.
فایلی که در چنین پوشه هایی جاسازی می شوند همانند فایل های دیگر بسادگی از طریق Windows Explorer قابل دسترس نیستند. چرا که این پوشه ها بر خلاف پوشه های دیگر بعنوان یک تغییر دهنده مسیر عمل می کند.
به گزارش شرکت شید افزار رایانه به نقل از شرکت امنیتی McAfee، گونه جدید بدافزار Dynamer از این قابلیت برای اهداف مخرب خود سوءاستفاده می کند.
این بدافزار، خود را در مسیر %AppData% ذخیره کرده و اقدام به ساخت کلید زیر در محضرخانه (Registry) سیستم عامل می کند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
کلید مذکور این امکان را فراهم می کند که بدافزار با هر بار راه اندازی سیستم عامل در حالت عادی اجرا شود. اما زمانی که پوشه com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} باز می شود کاربر به بخش RemoteApp and Desktop Connections در Control Panel هدایت می شود.
ضمن اینکه نویسنده یا نویسندگان این بدافزار با اضافه نمودن پیشوند com4. قصد حیات ابدی بخشیدن به آن را داشته اند. این نام سبب می شود که سیستم عامل آن را یک دستگاه در نظر بگیرد و بنابراین حذف آن از طریق Windows Explorer یا خط فرمان میسر نمی باشد.
با این حال با متوقف کردن پروسه بدافزار از طریق Task Manager یا ابزارهای مشابه دیگر و اجرای فرمان زیر می توان این ترفند را خنثی کرد.
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
توضیح اینکه ضدبدافزارهای McAfee و Bitdefender این بدافزار را بترتیب با نام های RDN/Generic.dx و Trojan.GenericKD.3149784 شناسایی می کنند.
سیستم عامل Windows دارای قابلیتی پنهان است که به کاربر امکان می دهد از یک پوشه با نام خاص به عنوان میانبر به تنظیمات Windows و پوشه های ویژه ای همچون Control Panel،وMy Computer و یا پوشه های مربوط به چاپگر استفاده کند.
این قابلیت که با نام های All Tasks Folder و God Mode شناخته می شود از Vista و نسخه های بعد از آن در سیستم عامل Windows اضافه شد.
God Mode از آن جهت قابلیتی پنهان دانسته می شود که که در مستندات شرکت مایکروسافت به آن اشاره ای نشده است.
فایلی که در چنین پوشه هایی جاسازی می شوند همانند فایل های دیگر بسادگی از طریق Windows Explorer قابل دسترس نیستند. چرا که این پوشه ها بر خلاف پوشه های دیگر بعنوان یک تغییر دهنده مسیر عمل می کند.
به گزارش شرکت شید افزار رایانه به نقل از شرکت امنیتی McAfee، گونه جدید بدافزار Dynamer از این قابلیت برای اهداف مخرب خود سوءاستفاده می کند.
این بدافزار، خود را در مسیر %AppData% ذخیره کرده و اقدام به ساخت کلید زیر در محضرخانه (Registry) سیستم عامل می کند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
کلید مذکور این امکان را فراهم می کند که بدافزار با هر بار راه اندازی سیستم عامل در حالت عادی اجرا شود. اما زمانی که پوشه com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} باز می شود کاربر به بخش RemoteApp and Desktop Connections در Control Panel هدایت می شود.
ضمن اینکه نویسنده یا نویسندگان این بدافزار با اضافه نمودن پیشوند com4. قصد حیات ابدی بخشیدن به آن را داشته اند. این نام سبب می شود که سیستم عامل آن را یک دستگاه در نظر بگیرد و بنابراین حذف آن از طریق Windows Explorer یا خط فرمان میسر نمی باشد.
با این حال با متوقف کردن پروسه بدافزار از طریق Task Manager یا ابزارهای مشابه دیگر و اجرای فرمان زیر می توان این ترفند را خنثی کرد.
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
توضیح اینکه ضدبدافزارهای McAfee و Bitdefender این بدافزار را بترتیب با نام های RDN/Generic.dx و Trojan.GenericKD.3149784 شناسایی می کنند.