Accueil / Actualités / Logiciels / Windows / Windows et le GodMode, attention danger
Windows 10, GodMode
Windows 10, répertoire GodMode

Windows et le GodMode, attention danger

Les chercheurs en sécurité de McAfee Labs ont découvert une nouvelle génération de logiciels malveillants capables de profiter d’un petit secret de Windows, le fameux GodMode. Explication.

Windows 10 - répertoire GodMode

Windows, Microsoft cache des astuces dont le Godmode

Microsoft a caché à l’intérieur de son système d’exploitation Windows une petite astuce. Elle permet de rassembler au cœur d’un même dossier une multitude de raccourcis afin de simplifier les tâches de maintenance, d’amélioration, d’optimisation et de personnalisation du système.

Windows 10, GodMode

Pour créer ce dossier, comme nous vous l’expliquions dans cette actualité pour Windows 10, Optimiser Windows 10, passer en mode Dieu, ou dans celle-là, pour Windows 7, Optimiser Windows 7, passer en mode Dieu, il suffit de créer un dossier sur le bureau puis le renommer en

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Personne ne sait pourquoi Microsoft propose ce « Godmode » mais il est probable l’équipe de développement de Microsoft en soit à l’origine afin de simplifier les démarches de « débogage » de l’OS.

GodMode, une astuce exploitée par le malware Dynamer

Des chercheurs de McAfee ont récemment révélé qu’ils ont découvert un malware capable d’utiliser cette astuce. Nommé Dynamer, l’application apporte quelques légères modifications à la démarche. Il enregistrer une nouvelle entrée dans le registre Windows afin de devenir actif à chaque démarrage de la machine.

Cette clé de Registre contient un chemin GodMode modifié, qui ouvre et redirige automatiquement vers « RemoteApp and Desktop Connections ». Il s’agit ici d’une démarche pour prendre le contrôle à distance ce qui fait que Dynamer est catalogué comme un cheval de troie.

La clé de Registre de Dynamer est la suivante

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

MacAffee note que l’auteur de ce malware a souhaité rendre son répertoire « immuable » avec l’utilisation du nom « com4 » au lieu du classique GodMode (ou le nom que vous souhaitez). Ce simple changement a des répercussions comme l’explique Craig Schmugar de McAfee Labs

« L’auteur du logiciel malveillant a tenté de donner au répertoire une vie éternelle, en utilisant le nom ‘com4’. Ce nom de périphérique sont interdits par les commandes classiques de Windows Explorer et cmd.exe. Windows traite le dossier comme un dispositif, empêchant ainsi les utilisateurs de les supprimer au travers de l’explorateur de fichiers ou d’une commande typique de la console. »

ss6-1

Dynamer, existe-t-il une solution ?

Il existe heureusement une solution. Il faut pour cela utiliser la commande suivante au travers de l’invite de commande de Windows (avec les droits d’administrateur). Dans le cas où Dynamer se situe dans un autre endroit que le dossier  «  AppData », il suffit de modifier la commande CLI avec le chemin du fichier approprié.

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

2 plusieurs commentaires

  1. Moi j’ai un canard vibrant connecté et je voudrais savoir si il possède un GodMode.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Patch Tuesday de Microsoft

Patch Tuesday d’Octobre 2018, 49 vulnérabilités corrigées, bilan

La grande maintenance mensuelle de Microsoft, le Patch Tuesday d’octobre 2018 a ...

Patch Tuesday de Microsoft

Patch Tuesday, corrections de 61 vulnérabilités dont 17 failles critiques

Le Patch Tuesday de septembre 2018 corrige un ensemble de 61 vulnérabilités. ...

Client Linux de Steam - La fonction Steam Play

Steam Play, Valve permet aux jeux conçus pour Windows de fonctionner sous Linux

Valve annonce le lancement d’une nouvelle version de Steam Play. L’objectif de ...