Cuidado: GodMode do Windows é usado para espalhar malware

 

 

 

god_mode_1

As formas encontradas pelos criadores de malware e outros tipos de ataques para propagar os seus ataques sempre foram muito inteligentes e muito criativas. Muitas vezes fazem uso de funcionalidades dos sistemas para poderem conseguir as suas metas.

A mais recente falha de segurança descoberta está a fazer uso do GodMode do Windows para se manter ativo e presente no sistema. Uma forma bem diferente do que normalmente se vê em utilização.

 

O GodMode foi descoberto pela primeira vez no Windows Vista e desde essa altura que tem estado disponível, criando um atalho direto para o Painel de Controlo e que dá acesso as principais funções de gestão do Windows.

Aproveitando esta capacidade e a permissão do Windows, o malware Dynamer que está a fazer uso do GodMode para se manter presente no sistema operativo, correndo de forma discreta no arranque e sem que o utilizador dê por isso

O Dynamer instala no Registo do Windows uma chave similar à do GodMode, em que executa uma aplicação que depois abre as portas da máquina para que o acesso ao servidor remoto seja feito.

god_mode_2

Com uma ligeira alteração ao processo que é usado no GodMode este malware consegue alojar-se no Windows de forma quase permanente. Passa a usar com4 em vez da string do GodMode, o que o impede de ser apagado pelo Windows ou pelo utilizador por ser uma de com palavra reservada e representar um dispositivo, não pode ser eliminado das formas tradicionais.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

 

Claro que com as formas manuais e através de uma janela de Dos é possível fazer essa remoção, eliminando no arranque o lançamento deste problema.

Esta é uma nova forma que está a ser usada e que mostra que é possível de forma simples uma forma de proteger um vírus ou malware e ao mesmo tempo proteger-se do próprio Windows e das ferramentas deste sistema.

 

( Fonte )

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: