Pplware

Alerta: GodMode do Windows é usado para espalhar malware

As formas encontradas pelos criadores de malware e outros tipos de ataques para propagar os seus ataques sempre foram muito inteligentes e muito criativas. Muitas vezes fazem uso de funcionalidades dos sistemas para poderem conseguir as suas metas.

A mais recente falha de segurança descoberta está a fazer uso do GodMode do Windows para se manter activo e presente no sistema. Uma forma bem diferente do que normalmente se vê em utilização.

O GodMode foi descoberto pela primeira vez no Windows Vista e desde essa altura que tem estado disponível, criando um atalho directo para o Painel de Controlo e que dá acesso as principais funções de gestão do Windows.

Aproveitando esta capacidade e a permissão do Windows, o malware Dynamer que está a fazer uso do GodMode para se manter presente no sistema operativo, correndo de forma discreta no arranque e sem que o utilizador dê por isso

O Dynamer instala no Registo do Windows uma chave similar à do GodMode, em que executa uma aplicação que depois abre as portas da máquina para que o acesso ao servidor remoto seja feito.

Com uma ligeira alteração ao processo que é usado no GodMode este malware consegue alojar-se no Windows de forma quase permanente. Passa a usar com4 em vez da string do GodMode, o que o impede de ser apagado pelo Windows ou pelo utilizador por ser uma de com palavra reservada e representar um dispositivo, não pode ser eliminado das formas tradicionais.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Claro que com as formas manuais e através de uma janela de Dos é possível fazer essa remoção, eliminando no arranque o lançamento deste problema.

Esta é uma nova forma que está a ser usada e que mostra que é possível de forma simples uma forma de proteger um vírus ou malware e ao mesmo tempo proteger-se do próprio Windows e das ferramentas deste sistema.

Exit mobile version