محققین امنیتی مک افی نسل جدیدی از برنامه های مخرب و بهره برداری انها از GodMode معروف سیستم عامل ویندوز کشف کرده اند.
مایکروسفت ترفندی در سیستم عامل ویندوز پنهان ساخته که برای مشاهده خیل شورتکاتها در یک پوشه میباشد تا بعضی کارها و یا شخصی سازی کاربر را اسانتر سازند.
برای ساختن این پوشه GodMode در ویندوز 10 که میتوان انرا در هر جا مثلا روی دسکتاپ ساخت, باید روی دسکتاپ مثلا ویندوز 10 کلیک راست کرده و سپس روی گزینه پوشه جدید کلیک کرد و این پوشه را GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} را نامید. سپس شکل این پوشه جدید تغییر کرده و با گشودن این پوشه به یک سری از شورتکاتهائی برای اجرای عملیاتی میتوان دست یافت.
دقیقا همین روش برای نسخه های دیگر ویندوز میتواند استفاده شود.
اما متاسفانه, محققین امنیتی مک افی کشف کرده اند که ملویری که انرا "Dynamer" نامیده اند میتواند از این ترفند ویندوز استفاده کرده و تغییرات اندکی در ان داده و ورودی جدیدی در رجیستری ویندوز وارد کند تا با هر استارت ویندوز فعال گردد.
این کلید رجیستری مسیر GodMode تغییر داده شده توسط ملویر Dynamer میباشد که با هر استارت ویندوز بطور خودکار به "RemoteApp and Desktop Connections" برای گرفتن کنترل دستگاه از راه دور کانکت میشود. به همین دلیل این ملویر در دسته تروجانها دسته بندی شده است.
کلیدی که ملویر Dynamer در رجیستری میسازد, کلید زیر است.
کد:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
lsm = C:UsersadminAppDataRoamingcom4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}lsm.exe
وی میگوید : "سازنده این برنامه مخرب تلاش کرده تا دایرکتوری ساخت خود را ابدی سازد و از نام com4 برای ان استفاده کرده است. ایگونه نام ابزاری جانبی برای فرمانهای سنتی ویندوز اکسپلورر و cmd.exe ممنوع است. ویندوز انرا همچون ابزاری دانسته و بدینگونه مانع حذف ان از طریق اکسپلوراتور فایلها و با خط فرمان میشود."
اما خوشبختانه یک راه حل وجود دارد. میتوان فرمان زیر را در خط فرمان و با گزینه "Run as administrator" وارد کرد.
کد:
> rd “\.%appdata%com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
برچسب : نویسنده : دانلودی tarfandbaz بازدید : 125