Les chercheurs en sécurité de McAfee Labs ont découvert une nouvelle génération de logiciels malveillants capables de profiter d’un petit secret de Windows, le fameux GodMode. Explication.
Windows, Microsoft cache des astuces dont le Godmode
Microsoft a caché à l’intérieur de son système d’exploitation Windows une petite astuce. Elle permet de rassembler au cœur d’un même dossier une multitude de raccourcis afin de simplifier les tâches de maintenance, d’amélioration, d’optimisation et de personnalisation du système.
Pour créer ce dossier, comme nous vous l’expliquions dans cette actualité pour Windows 10, Optimiser Windows 10, passer en mode Dieu, ou dans celle-là, pour Windows 7, Optimiser Windows 7, passer en mode Dieu, il suffit de créer un dossier sur le bureau puis le renommer en
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Personne ne sait pourquoi Microsoft propose ce « Godmode » mais il est probable l’équipe de développement de Microsoft en soit à l’origine afin de simplifier les démarches de « débogage » de l’OS.
GodMode, une astuce exploitée par le malware Dynamer
Des chercheurs de McAfee ont récemment révélé qu’ils ont découvert un malware capable d’utiliser cette astuce. Nommé Dynamer, l’application apporte quelques légères modifications à la démarche. Il enregistrer une nouvelle entrée dans le registre Windows afin de devenir actif à chaque démarrage de la machine.
Cette clé de Registre contient un chemin GodMode modifié, qui ouvre et redirige automatiquement vers “RemoteApp and Desktop Connections”. Il s’agit ici d’une démarche pour prendre le contrôle à distance ce qui fait que Dynamer est catalogué comme un cheval de troie.
La clé de Registre de Dynamer est la suivante
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
MacAffee note que l’auteur de ce malware a souhaité rendre son répertoire « immuable » avec l’utilisation du nom « com4 » au lieu du classique GodMode (ou le nom que vous souhaitez). Ce simple changement a des répercussions comme l’explique Craig Schmugar de McAfee Labs
“L’auteur du logiciel malveillant a tenté de donner au répertoire une vie éternelle, en utilisant le nom ‘com4’. Ce nom de périphérique sont interdits par les commandes classiques de Windows Explorer et cmd.exe. Windows traite le dossier comme un dispositif, empêchant ainsi les utilisateurs de les supprimer au travers de l’explorateur de fichiers ou d’une commande typique de la console.”
Dynamer, existe-t-il une solution ?
Il existe heureusement une solution. Il faut pour cela utiliser la commande suivante au travers de l’invite de commande de Windows (avec les droits d’administrateur). Dans le cas où Dynamer se situe dans un autre endroit que le dossier « AppData », il suffit de modifier la commande CLI avec le chemin du fichier approprié.
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
Moi j’ai un canard vibrant connecté et je voudrais savoir si il possède un GodMode.
You make my day 🙂