Windows 10, répertoire GodMode
Les chercheurs en sécurité de McAfee Labs ont découvert une nouvelle génération de logiciels malveillants capables de profiter d’un petit secret de Windows, le fameux GodMode. Explication.
Microsoft a caché à l’intérieur de son système d’exploitation Windows une petite astuce. Elle permet de rassembler au cœur d’un même dossier une multitude de raccourcis afin de simplifier les tâches de maintenance, d’amélioration, d’optimisation et de personnalisation du système.
Pour créer ce dossier, comme nous vous l’expliquions dans cette actualité pour Windows 10, Optimiser Windows 10, passer en mode Dieu, ou dans celle-là, pour Windows 7, Optimiser Windows 7, passer en mode Dieu, il suffit de créer un dossier sur le bureau puis le renommer en
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Personne ne sait pourquoi Microsoft propose ce « Godmode » mais il est probable l’équipe de développement de Microsoft en soit à l’origine afin de simplifier les démarches de « débogage » de l’OS.
Des chercheurs de McAfee ont récemment révélé qu’ils ont découvert un malware capable d’utiliser cette astuce. Nommé Dynamer, l’application apporte quelques légères modifications à la démarche. Il enregistrer une nouvelle entrée dans le registre Windows afin de devenir actif à chaque démarrage de la machine.
Cette clé de Registre contient un chemin GodMode modifié, qui ouvre et redirige automatiquement vers “RemoteApp and Desktop Connections”. Il s’agit ici d’une démarche pour prendre le contrôle à distance ce qui fait que Dynamer est catalogué comme un cheval de troie.
La clé de Registre de Dynamer est la suivante
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
MacAffee note que l’auteur de ce malware a souhaité rendre son répertoire « immuable » avec l’utilisation du nom « com4 » au lieu du classique GodMode (ou le nom que vous souhaitez). Ce simple changement a des répercussions comme l’explique Craig Schmugar de McAfee Labs
“L’auteur du logiciel malveillant a tenté de donner au répertoire une vie éternelle, en utilisant le nom ‘com4’. Ce nom de périphérique sont interdits par les commandes classiques de Windows Explorer et cmd.exe. Windows traite le dossier comme un dispositif, empêchant ainsi les utilisateurs de les supprimer au travers de l’explorateur de fichiers ou d’une commande typique de la console.”
Il existe heureusement une solution. Il faut pour cela utiliser la commande suivante au travers de l’invite de commande de Windows (avec les droits d’administrateur). Dans le cas où Dynamer se situe dans un autre endroit que le dossier « AppData », il suffit de modifier la commande CLI avec le chemin du fichier approprié.
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
Les cartes mères LGA 1851 équipées du chipset Intel B860 commencent à apparaître. La ROG… Lire d'avantage
L’utilitaire GPU-Z évolue en version 2.61. Le focus concerne la prise en charge de nouveaux… Lire d'avantage
Les premières informations sur la GeForce RTX 5070 Ti, prévue pour début 2025, indiquent des… Lire d'avantage
Annoncé en mars dernier, le SK hynix Platinum P51 PCIe 5.0 est enfin lancé en… Lire d'avantage
Acer lève le voile sur sa gamme de SSD FA200 PCIe 4.0. Visant le milieu… Lire d'avantage
Kioxia a dévoilé l'Exceria Plus G4, un SSD M.2 NVMe qui promet des débits musclés… Lire d'avantage
Voir commentaires
Moi j'ai un canard vibrant connecté et je voudrais savoir si il possède un GodMode.
You make my day :)