Malware usa el Modo Dios y nombres de directorio prohibidos

Hace dos años hablábamos de un huevo de pascua que Microsoft introdujo en Windows Vista denominado "Modo Dios" o "God Mode", a través del cual y simplemente creando una carpeta con un nombre específico podíamos (y seguimos pudiendo) acceder a un montón de accesos directos del panel de configuración y otras opciones. Si recordáis:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}



Recientemente McAfee ha descubierto un troyano bautizado como Dynamer que para ganar persistencia se aprovecha de esta característica añadiendo al registro un acceso directo al ítem del panel de control "Conectarse a escritorios y programas en su lugar de trabajo":


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe


Y no sólo eso, si intentas borrar el directorio/acceso directo desde el explorador Windows no te lo permitirá:


Eso es debido a que el sistema operativo no permite borrar ni crear directorios con nombres de acceso a dispositivos (“con”, “prn”, “nul”, “com1”, “com2”, “lpt1”, etc.), al menos directamente, si no se hace específicamente:

rd \\.\c:\tmp\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}


Así que, a parte de malas intenciones, nadie podrá discutir que los desarrolladores de malware usan su ingenio, ¿verdad? ;)

¡Feliz puente!

 Fuente: Malware Takes Advantage of Windows ‘God Mode’

4 comentarios :

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Gracias por la informacion. Disculpa haber eliminado los comentarios anteriores, pero había un error. Creo que va mejor así (en un bat con privilegios)
    taskkill /f /im "lsm.exe"
    for /d %%G in ("\\.\%APPDATA%\com*") do rd /s /q "%%~G"
    for /d %%G in ("\\.\%HOMEDRIVE%\tmp\com*") do rd /s /q "%%~G"
    reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v "lsm" /f
    reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "lsm" /f
    saludos

    ResponderEliminar
    Respuestas
    1. Ok, muchas gracias. Muy práctico para eliminarlo :)

      Eliminar