研究人员已经确定一款新型恶意程序正在利用WINDOWS的“上帝模式”为非作歹,威胁用户安全。
WINDOWS操作系统存在恶意软件已经不是什么新鲜事了,但是Microsoft声称Windows 10系统中的应用程序会自动检测恶意软件的存在。不过,这款Dynamer恶意软件通过利用“上帝模式”,成功击碎了Windows操作系统的安全性,为攻击者大开受害系统后门,从而实现远程操控的目的,而且这款木马很难清除,可能上帝也很无奈……
“上帝模式”上帝模式,,即”God Mode”,或称为“完全控制面板”。是Windows 7和windows Vista系统中隐藏的一个简单的文件夹窗口,但包含了几乎所有Windows系统的设置,如控制面板的功能、界面个性化、辅助功能选项等方方面面的控制设置,用户只需通过这一个窗口就能实现所有的操控,而不必再去为调整一个小小的系统设置细想半天究竟该在什么地方去打开设置窗口。
但是,根据McAfee的研究分析表明,“上帝模式”功能存在一个恶意代码,可以使用与“上帝模式”文件夹相似的名称来逃避安全检测。考虑到文件夹的重要性,Windows“上帝模式”正在被恶意软件利用的信息确实令人不安。
McAfee的研究结果表明,利用“上帝模式”作祟的恶意软件就是Dynamer,这款木马早在2010年就在微软恶意软件防控中心挂名上榜,最近新的活动又让它刷出了存在感。该木马进入目标设备后,通过修改注册表的方式达到保持开机启动的目的。值得注意的是,该注册表“修改版”包含上帝模式标准代码段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”,能够从“上帝模式”中启动远程桌面连接,具体键值如下:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunlsm =C:UsersadminAppDataRoamingcom4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}lsm.exe可以看到,“上帝模式”前缀(GodMode,可自定义修改)被修改为“com4”。根据McAfee实验室研究员CraigSchmugar的描述,这一名称能够很好地避免木马所在目录被清理,因为系统会把它当做设备来对待,甚至连用户本身都很难通过文件资源管理器和命令等传统方式来删除它。
解决方案:不过,魔高一尺,道高一丈。想要清理这个流氓并不需要向上帝祈祷,只需在“命令提示符”管理员模式下执行如下命令就可以将其击毙(如果你发现木马在其他位置,将其中的“\.%appdata%”更换为木马实际所在路径即可):
> rd “\.%appdata%com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q该命令可以通过删除目录实现删除恶意软件的目的。但是目前这个问题已经成为眼下非常重要的问题,Microsoft必须采取行动,防止恶意软件可以如此轻松的利用Windows功能,威胁用户安全。
感兴趣的可以去Mcafee博客了解更多该恶意软件的详情。