چگونگی حذف ملویر جدید وغیر قابل حذف Dynamer که از GodMode استفاده میکند

محققین امنیتی مک افی نسل جدیدی از برنامه های مخرب و بهره برداری انها از GodMode معروف سیستم عامل ویندوز کشف کرده اند.

مایکروسفت ترفندی در سیستم عامل ویندوز پنهان ساخته که برای مشاهده خیل شورتکاتها در یک پوشه میباشد تا بعضی کارها و یا شخصی سازی کاربر را اسانتر سازند.

برای ساختن این پوشه GodMode در ویندوز 10 که میتوان انرا در هر جا مثلا روی دسکتاپ ساخت, باید روی دسکتاپ مثلا ویندوز 10 کلیک راست کرده و سپس روی گزینه پوشه جدید کلیک کرد و این پوشه را GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} را نامید. سپس شکل این پوشه جدید تغییر کرده و با گشودن این پوشه به یک سری از شورتکاتهائی برای اجرای عملیاتی میتوان دست یافت.

دقیقا همین روش برای نسخه های دیگر ویندوز میتواند استفاده شود.

اما متاسفانه, محققین امنیتی مک افی کشف کرده اند که ملویری که انرا "Dynamer" نامیده اند میتواند از این ترفند ویندوز استفاده کرده و تغییرات اندکی در ان داده و ورودی جدیدی در رجیستری ویندوز وارد کند تا با هر استارت ویندوز فعال گردد.

این کلید رجیستری مسیر GodMode تغییر داده شده توسط ملویر Dynamer میباشد که با هر استارت ویندوز بطور خودکار به "RemoteApp and Desktop Connections" برای گرفتن کنترل دستگاه از راه دور کانکت میشود. به همین دلیل این ملویر در دسته تروجانها دسته بندی شده است.

کلیدی که ملویر Dynamer در رجیستری میسازد, کلید زیر است.

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
lsm = C:UsersadminAppDataRoamingcom4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}lsm.exe

> rd “\.%appdata%com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q