Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (39)
  • добавить в избранное
    Добавить в закладки

Смешать, но не взбалтывать

Прочитали: 1997 Комментариев: 97 Рейтинг: 100

Недавно мы рассказывали о расширениях и ссылках. Даже не углубляясь в тонкости устройства ОС Windows, понятно, что это – две совершенно разные вещи, никак между собой не связанные. А что будет, если использовать их совместно? Итак, смешиваем, взбалтываем и...

В операционных системах Windows Vista, 7, 8 и 10 есть интересная возможность по тонкой настройке, так называемый GodMode (режим Бога). Этот режим позволит вам управлять всеми настройками Windows из удобного графического меню. Как получить доступ к этому режиму?

  1. Щелкните правой кнопкой мыши на любом пустом пространстве рабочего стола.
  2. Перейдите в меню Создать и создайте новую папку.
  3. Переименуйте имя папки на GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}. Вместо GodMode можно указать любые символы.

Внутри такой «папки» будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»:

#drweb

https://geektimes.ru/post/80098

Малоизвестная, но интересная возможность. И злоумышленники придумали, как ее использовать!

Троян Dynamer при установке записывает свои файлы в одну из папок, доступных в GodMode внутри %AppData%.

Сам исполняемый файл запускается по команде из реестра, но вручную зайти в эту папку нельзя, так как папка, в которую размещает свои файлы троян ({241D7C96-F8BF-4F85-B01F-E2B043341A4B}), работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).

#drweb

Вот содержимое папки, если открыть ее в проводнике.

#drweb

https://geektimes.ru/post/275164

Так, ссылки есть, теперь добавим расширения. Дело в том, что расширения могут быть связаны не только с определенными типами файлов – они также могут указывать, что файл является устройством. Для Windows-пользователей это звучит дико (прим. линуксоида: «А для нас – нет!»), но на самом деле это просто свойство ОС, позволяющее обращаться к совершенно разным вещам (файлам, памяти и многому другому) через унифицированный интерфейс.

Авторы трояна добавили к названию папки "com4.", в результате чего Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием!

#drweb

Аналогично, удаление невозможно из консоли.

#drweb

https://geektimes.ru/post/275164

Естественно, вручную удаление такой папки невозможно. А вот антивирус может удалить и не такое!

#Windows #троянец #антивирусная_проверка

Dr.Web рекомендует

Антивирус имеет доступ к самым разным областям ОС – даже к тем, доступа к которым у обычных пользователей нет. Это необходимо для противодействия вредоносным программам, которые скрывают свое присутствие в системе.

Вот почему лишь проверка антивирусным сканером способна вычистить заразу из всех уголков вашего компьютера.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: