Windows 10, répertoire GodMode
Les chercheurs en sécurité de McAfee Labs ont découvert une nouvelle génération de logiciels malveillants capables de profiter d’un petit secret de Windows, le fameux GodMode. Explication.
Microsoft a caché à l’intérieur de son système d’exploitation Windows une petite astuce. Elle permet de rassembler au cœur d’un même dossier une multitude de raccourcis afin de simplifier les tâches de maintenance, d’amélioration, d’optimisation et de personnalisation du système.
Pour créer ce dossier, comme nous vous l’expliquions dans cette actualité pour Windows 10, Optimiser Windows 10, passer en mode Dieu, ou dans celle-là, pour Windows 7, Optimiser Windows 7, passer en mode Dieu, il suffit de créer un dossier sur le bureau puis le renommer en
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Personne ne sait pourquoi Microsoft propose ce « Godmode » mais il est probable l’équipe de développement de Microsoft en soit à l’origine afin de simplifier les démarches de « débogage » de l’OS.
Des chercheurs de McAfee ont récemment révélé qu’ils ont découvert un malware capable d’utiliser cette astuce. Nommé Dynamer, l’application apporte quelques légères modifications à la démarche. Il enregistrer une nouvelle entrée dans le registre Windows afin de devenir actif à chaque démarrage de la machine.
Cette clé de Registre contient un chemin GodMode modifié, qui ouvre et redirige automatiquement vers “RemoteApp and Desktop Connections”. Il s’agit ici d’une démarche pour prendre le contrôle à distance ce qui fait que Dynamer est catalogué comme un cheval de troie.
La clé de Registre de Dynamer est la suivante
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
MacAffee note que l’auteur de ce malware a souhaité rendre son répertoire « immuable » avec l’utilisation du nom « com4 » au lieu du classique GodMode (ou le nom que vous souhaitez). Ce simple changement a des répercussions comme l’explique Craig Schmugar de McAfee Labs
“L’auteur du logiciel malveillant a tenté de donner au répertoire une vie éternelle, en utilisant le nom ‘com4’. Ce nom de périphérique sont interdits par les commandes classiques de Windows Explorer et cmd.exe. Windows traite le dossier comme un dispositif, empêchant ainsi les utilisateurs de les supprimer au travers de l’explorateur de fichiers ou d’une commande typique de la console.”
Il existe heureusement une solution. Il faut pour cela utiliser la commande suivante au travers de l’invite de commande de Windows (avec les droits d’administrateur). Dans le cas où Dynamer se situe dans un autre endroit que le dossier « AppData », il suffit de modifier la commande CLI avec le chemin du fichier approprié.
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
Gigabyte enrichit ses cartes graphiques professionnelles avec la Radeon PRO W7800 AI TOP 48G. Elle… Lire d'avantage
A l'occasion des 20 ans de Half-Life 2, NVIDIA s’est associé à Orbifold Studios pour… Lire d'avantage
La mise à jour Windows 11 KB5046633 introduit un bug perturbant. Suite à son installation… Lire d'avantage
La GeForce RTX 3050 est une carte graphique d’entrée de gamme et bien qu'elle soit… Lire d'avantage
Depuis plusieurs années le programme Windows Insider donne rendez-vous aux fans de l'OS de Microsoft.… Lire d'avantage
AMD a dévoilé des résultats intéressant autour de son processeur Ryzen AI 9 HX 370.… Lire d'avantage
Voir commentaires
Moi j'ai un canard vibrant connecté et je voudrais savoir si il possède un GodMode.
You make my day :)