Смешать, но не взбалтывать

Незваные гости

добавить в избранное

Смешать, но не взбалтывать

Прочитали: 5282 Комментариев: 95 Рейтинг: 119

28 сентября 2017

Недавно мы рассказывали о расширениях и ссылках. Даже не углубляясь в тонкости устройства ОС Windows, понятно, что это – две совершенно разные вещи, никак между собой не связанные. А что будет, если использовать их совместно? Итак, смешиваем, взбалтываем и...

В операционных системах Windows Vista, 7, 8 и 10 есть интересная возможность по тонкой настройке, так называемый GodMode (режим Бога). Этот режим позволит вам управлять всеми настройками Windows из удобного графического меню. Как получить доступ к этому режиму?

Щелкните правой кнопкой мыши на любом пустом пространстве рабочего стола.
Перейдите в меню Создать и создайте новую папку.
Переименуйте имя папки на GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Вместо GodMode можно указать любые символы.

Внутри такой «папки» будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»:

https://geektimes.ru/post/80098

Малоизвестная, но интересная возможность. И злоумышленники придумали, как ее использовать!

Троян Dynamer при установке записывает свои файлы в одну из папок, доступных в GodMode внутри %AppData%.

Сам исполняемый файл запускается по команде из реестра, но вручную зайти в эту папку нельзя, так как папка, в которую размещает свои файлы троян ({241D7C96-F8BF-4F85-B01F-E2B043341A4B}), работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).

Вот содержимое папки, если открыть ее в проводнике.

https://geektimes.ru/post/275164

Так, ссылки есть, теперь добавим расширения. Дело в том, что расширения могут быть связаны не только с определенными типами файлов – они также могут указывать, что файл является устройством. Для Windows-пользователей это звучит дико (прим. линуксоида: «А для нас – нет!»), но на самом деле это просто свойство ОС, позволяющее обращаться к совершенно разным вещам (файлам, памяти и многому другому) через унифицированный интерфейс.

Авторы трояна добавили к названию папки "com4.", в результате чего Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием!

Аналогично, удаление невозможно из консоли.

https://geektimes.ru/post/275164

Естественно, вручную удаление такой папки невозможно. А вот антивирус может удалить и не такое!

#Windows #троянец #антивирусная_проверка

Антивирусная правДА! рекомендует

Антивирус имеет доступ к самым разным областям ОС – даже к тем, доступа к которым у обычных пользователей нет. Это необходимо для противодействия вредоносным программам, которые скрывают свое присутствие в системе.

Вот почему лишь проверка антивирусным сканером способна вычистить заразу из всех уголков вашего компьютера.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
23:16:02 2018-08-02

В некоторых случаях можно воспользоваться утилитой CureIT.

Неуёмный Обыватель Собкор
22:21:20 2018-06-23

Что написано пером, то не вырубишь топором, но антивирусом можно.

vasvet
19:06:18 2018-04-04

Очень поучительная информация.

a13x Собкор
16:15:04 2017-10-02

@Вячeслaв, понял. Это логично. значит единственный рост - это улучшение характеристик :)

a13x Собкор
16:12:16 2017-10-02

@udginvr, мы про качественный шредер файлов.

Viz
21:03:49 2017-09-30

Даже и не згал про такие возможноти ОС Windows. Спасибо за информацию!

andylew
18:22:45 2017-09-29

Спасибо за очень познавательную статью.

Вячeслaв Собкор
16:58:51 2017-09-29

@a13x, Про идентификаторы это вы мощно. Чисто теоретически идентификаторы конечно есть. Но их мало. Нужно 1. анализировать содержимое документов (не вирусы искать, а наличие слов и фраз). То есть DLP считай. И 2. сопоставлять идентификаторы с пользователями. Ну если первое мы можем добавить, то второе как мы сделаем? Мы проверить данные пользователя при регистрации не можем

А руткиты у нас проверяются - проверяются запущенные процессы при старте проверки

Вячeслaв Собкор
16:27:34 2017-09-29

@a13x, сделать можно. Алгоритмы известны, даже выпуск в Правде мы делали. Но вот почему-то мне кажется, что не дело программы, которая защищает данные от уничтожения, их уничтожать. Если серьезно. Представим ситуацию. Установленный антивирус без пароля. Заходит на компьютер злоумышленник, открывает агент антивируса и штатной функцией выносит все.
Я предпочитаю. чтобы такие утилиты пользователь ставил обдуманно и специально

Ruslan
13:34:25 2017-09-29

Очень полезный выпуск и совет. Благодарю!

GREII Собкор
07:37:51 2017-09-29

не так страшен вирус как сам себе "режиссер -программист- -настройщик", да антивирус пролазит везде и не допустит копать и изменять "свои файлы", спасибо

Lia00 Собкор
00:54:40 2017-09-29

напугали, объяснили, успокоили и лалаалалаа ^^

ka_s
23:20:26 2017-09-28

Создал папку GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}, открыл и остолбенел. Первоначальное восщищение от результата прошло и сменилось на непроходящую озабоченность: а что еще скрыто в недокументированных возможностях операционной системы?

Littlefish Собкор
23:15:43 2017-09-28

@aleks_ku, чтобы не забыть можно добавить выпуск в избранное, для этого нужно нажать на значок звёздочки над названием выпуска справа.

Marsn77
22:42:40 2017-09-28

На что только не пойдут авторы вирусов. Однажды у знакомых в ПК появился вымогатель, не определявшийся ни одним антивирусом. Оказалось, что в автозапуск прописался небольшой exe-файл, единственным функционалом которого был показ окна с требованием выкупа, которое легко закрывалось, поэтому он и не определялся, как вредоносный, и после нескольких сканирований различными антивирусами, которые ничего не обнаружили, был найден и удален вручную через файловый менеджер.

aleks_ku
22:23:30 2017-09-28

Попробую такое, надо только не забыть!..

НинаК
21:59:02 2017-09-28

Заголовок конечно забавный, а вот режим - пугающий!

Роза
21:46:17 2017-09-28

Такую папку не буду делать - мне такие настройки не нужны .

В...а
21:29:59 2017-09-28

Понимаю, что все вскрыто, но сложно для понимания

1milS
21:13:51 2017-09-28

Создал папку. Работает.

Andromeda
21:06:10 2017-09-28

Никогда раньше не слышала про такой режим. Считаю, что знать об этом полезно.

vla_va
21:04:36 2017-09-28

Эксперимент занятный, результаты удивляют и настораживают

ek
20:45:36 2017-09-28

файл является устройством? Невероятно!

orw_mikle
20:28:57 2017-09-28

Даже и не знал о таком, да лучше и не знать. Целее настройки будут и ПК лучше работать будет.

ai
20:18:34 2017-09-28

Не для меня так сложно проверять

Dvakota
20:10:04 2017-09-28

Интересная папка получилась . А в возможности Dr.Web я охотно верю .

Альфа
20:06:54 2017-09-28

Где-то читал про такой режим, но ни разу не использовал. Занесу данный выпуск в свою библиотеку.

Геральт Собкор
19:57:23 2017-09-28

Из-за удобства использую режим Бога и не думал, что его могут использовать вирусописатели. Но с антивирусом Доктор веб мне не страшно.

La folle
19:41:50 2017-09-28

Большой плюс в пользу антивируса!

Сергей
19:36:39 2017-09-28

Интересная и познавательная статья,спасибо за информацию.

zsergey
19:21:38 2017-09-28

Расширения всегда отображаю, "режим Бога" пробовал, но обхожусь и без него.

Дмитрий
19:20:01 2017-09-28

надо попробовать, про такую папку не слышал.

Шалтай Александр Болтай Собкор
18:41:45 2017-09-28

Занимательный выпуск! Выводы:
"Я включил "режим Бога" в Windows и стал Богом Windows!!!" - подумал user.
"Ага щас" - подумал антивирус Dr.Web и отрубил все ненужные ему режимы - "Ну кто здесь Бог?"

Шалтай Александр Болтай Собкор
18:33:39 2017-09-28

Есть люди, рождением которых Бог хочет показать, что у него есть чувство юмора.

Шалтай Александр Болтай Собкор
18:18:21 2017-09-28

@Влад, шлю мои поздравления Владу! Главное всегда быть в ладу с самим собой!

sapfira
17:48:34 2017-09-28

Бог даже в компьютерах присутствует?)) Ему противопоказано))

Damir Собкор
17:40:28 2017-09-28

Интересный режим бога.Хорошо , что антивирус может проверить все уголки компьютера.

kva-kva
17:15:01 2017-09-28

Обязательно надо попробовать, впечатляет

Toma
17:02:55 2017-09-28

@Влад, поздравляю с днем рождения! Успехов!

Tom
16:50:17 2017-09-28

Узнал много нового. Спасибо.

mk.insta
16:44:24 2017-09-28

злодеи знают больше пользователей намного :(

Littlefish Собкор
16:27:15 2017-09-28

@Влад, поздравляю Вас с прошедшим днём рождения и желаю Вам только приятных сюрпризов :-)

Alexander Собкор
16:11:55 2017-09-28

Спасибо за статью. Узнал, что расширения могут показывать не только тип файлов, но и привести к аппаратному устройству, в том числе виртуальному, но являющимся реальным зловредом. Приятно читать, что и такую "хитрость" вирусописателей, как, например, использование "com4.", антивирусный сканер Dr.Web Security Space способен вычислить и вычистить.
Возможности "GodMode" создают, конечно, удобства при работе с настройками системы. Но для некоторых неофитов дают также соблазн "полазить-пощелкать", что может сказаться на здоровье системы не лучшим образом. О вкусах и привычках спорить не принято, - очень многие убеждены, что только свой опыт "самый правильный". Пусть каждый сам выбирает - использовать или обойтись без "GodMode". Как отмечается в статье от geektimes.ru, "используйте это на свой страх и риск". Запутанность в поиске возможности изменить настройки системы иногда во благо. Тем же, кто решит попробовать, - на мой взгляд, безопаснее эту ссылку создавать не на рабочем столе, или даже не на диске "С", а в какой-либо папке на другом логическом диске. Для потенциального вируса это без разницы, а от "человеческого фактора" оградит в большей степени.

Марина
16:02:57 2017-09-28

GodMode - круто, надо глянуть на это.

Masha
15:50:00 2017-09-28

@Влад, с днем рождения! Всего наилучшего!

Любитель пляжного футбола Собкор
15:03:34 2017-09-28

@Влад, поздравляю с Днём рождения!

Qween-.-
14:51:55 2017-09-28

Не знал про режим бога.

Любитель пляжного футбола Собкор
14:50:43 2017-09-28

Слышал раньше краем уха про режим Бога, но кроме названия других сведений у меня о нём не было. :) Здесь почитал поподробнее, интересная возможность, буду иметь в виду, правда, не знаю, пригодится ли когда-нибудь. Необычен способ включения такого режима, входишь туда не через какую-то там скрытую в глубоком подвале настройку, а через создание папки с какой-то абракадаброй в названии. Интересно, эту возможность разработчики с самого начала предусмотрели или потом была случайно найдена теми, кто любит покопаться в системе, продвинутыми пользователями.

Maat
14:08:58 2017-09-28

Интересная информация. Про режим Бога нужно будет и себе настроить такую панель управления. Спасибо за выпуск.

vinnetou
13:55:16 2017-09-28

Спасибо за выпуск!!! Знал про GodMode (режим Бога),но не пользуюсь.Доверяю антивирусу.Надеюсь Доктор Веб не подведёт!!!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Смешать, но не взбалтывать

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей