Троян использует «режим Бога» Windows, чтобы спрятаться в системе

030fa94849c74b919cc6bee0ae4664da.PNGКак известно, в операционной системе Windows Vista, 7, 8 и 10 есть своеобразная пасхалка — GodMode (режим Бога). Начиная с версии Vista можно создать папку со специфическим именем, которая перенаправляет на настройки Windows или служебные папки, такие как «Панель управления», «Компьютер», «Принтеры» и проч.

Например, если создать на рабочем столе папку с названием GodMode.{ED7BA470–8E54–465E-825C-99712043E01C} (вместо GodMode можно указать любые символы), то внутри будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»: скриншот.

Очень удобная фича для управления настройками в системе и для системного администрирования.

К сожалению, режим Бога используют не только сисадмины, но и авторы вирусов.
Специалисты из антивирусной компании McAfee Labs рассказывают о трояне Dynamer, который использует режим Бога, чтобы скрыться от обнаружения в системе.

Dynamer при установке записывает свои файлы в одну из таких папок внутри %AppData%. В реестре создаётся ключ, который сохраняется после перезагрузки, запуская каждый раз бинарник зловреда.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Таким образом, исполняемый файл нормально запускается по команде из реестра, но вручную зайти в эту папку нельзя: как указано в списке выше, папка {241D7C96-F8BF-4F85-B01F-E2B043341A4B} работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).

75f84d8164c7496a93f270aabc5c5093.png

Вот содержимое папки, если открыть её в проводнике.

3b41509f8beb4e8c90ccc2acdf19fc20.png

Более того, авторы трояна добавили к названию папки «com4.», так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.

96e05d1a56994823b73c35dced8d819e.png

Аналогично, удаление невозможно из консоли.

06d35070896e4a0d9ffb7e2570791516.png

Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.

rd "\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.

В качестве бонуса.

Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows

Action Center.{BB64F8A7-BEE7–4E1A-AB8D-7D8273F7FDB6}
Backup and Restore.{B98A2BEA-7D42–4558–8BD1–832F41BAC6FD}
Biometric Devices.{0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
Credential Manager.{1206F5F1–0569–412C-8FEC-3204630DFB70}
Default Location.{00C6D95F-329C-409a-81D7-C46C66EA7F33}
Devices and Printers.{A8A91A66–3A7D-4424–8D24–04E180695C7A}
Display.{C555438B-3C23–4769-A71F-B6D3D9B6053A}
HomeGroup.{67CA7650–96E6–4FDD-BB43-A8E774F73A57}
Location and Other Sensors.{E9950154-C418–419e-A90A-20C5287AE24B}
Notification Area Icons.{05d7b0f4–2121–4eff-bf6b-ed3f69b894d9}
Recovery.{9FE63AFD-59CF-4419–9775-ABCC3849F861}
RemoteApp and Desktop Connections.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}
Speech Recognition.{58E3C745-D971–4081–9034–86E34B30836A}
Troubleshooting.{C58C4893–3BE0–4B45-ABB5-A63E4B8C8651}
Administrative Tools.{D20EA4E1–3957–11d2-A40B-0C5020524153}
All .NET Frameworks and COM Libraries.{1D2680C9–0E2A-469d-B787–065558BC7D43}
All Tasks (Control Panel).{ED7BA470–8E54–465E-825C-99712043E01C}
AutoPlay.{9C60DE1E-E5FC-40f4-A487–460851A8D915}
BitLocker Drive Encryption.{D9EF8727-CAC2–4e60–809E-86F80A666C91}
Computer Folder.{20D04FE0–3AEA-1069-A2D8–08002B30309D}
Default Programs.{17cd9488–1228–4b2f-88ce-4298e93e0966}
Ease of Access Center.{D555645E-D4F8–4c29-A827-D93C859C4F2A}
Font Settings.{93412589–74D4–4E4E-AD0E-E0CB621440FD}
Get Programs.{15eae92e-f17a-4431–9f28–805e482dafd4}
Manage Wireless Networks.{1FA9085F-25A2–489B-85D4–86326EEDCD87}
Network and Sharing Center.{8E908FC9-BECC-40f6–915B-F4CA0E70D03D}
Network Connections.{7007ACC7–3202–11D1-AAD2–00805FC1270E}
Network Folder.{208D2C60–3AEA-1069-A2D7–08002B30309D}
Parental Controls.{96AE8D84-A250–4520–95A5-A47A7E3C548B}
Performance Information and Tools.{78F3955E-3B90–4184-BD14–5397C15F1EFC}
Personalization.{ED834ED6–4B5A-4bfe-8F11-A626DCB6A921}
Power Options.{025A5937-A6BE-4686-A844–36FE4BEC8B6D}
Programs and Features.{7b81be6a-ce2b-4676-a29e-eb907a5126c5}
Sync Center.{9C73F5E5–7AE7–4E32-A8E8–8D23B85255BF}
System.{BB06C0E4-D293–4f75–8A90-CB05B6477EEE}
User Accounts.{60632754-c523–4b62-b45c-4172da012619}
Windows Firewall.{4026492F-2F69–46B8-B9BF-5654FC07E423}
Windows SideShow.{E95A4861-D57A-4be1-AD0F-35267E261739}
Windows Update.{36eef7db-88ad-4e81-ad49–0e313f0c35f8}


Полный список GUID с указанием поддерживаемых версий Windows см. в документации Microsoft.

© Geektimes