Malware se aprovecha del hack modo Dios de Windows para deslizarse más allá de la seguridad

6 Mayo 2016, 10:30  -  #hacker, #Windows, #carpeta, #vulnerabilidad

Malware se aprovecha del hack modo Dios de Windows para deslizarse más allá de la seguridad

Malware se aprovecha del hack modo Dios de Windows para deslizarse más allá de la seguridadEl supuesto hack modo Dios para Windows que es menos grande de lo que puede sonar.En lugar de conceder a los usuarios habilidades de Deidad, simplemente proporciona acceso a una carpeta principal para manipular las opciones del Panel de Control y Configuración. Pero los investigadores de seguridad han descubierto que la técnica utilizada para crear esta carpeta especial también puede ser explotada por el malware.McAfee dice que esta singularidad es ideal para usuarios avanzados, pero también puede ser utilizado por atacantes con "fines malignos". Colocando los archivos dentro de la carpeta de acceso directo de modo Dios, el malware como Dynamer es capaz de ejecutarse sin ser detectado en el ordenador de la víctima.Los investigadores de McAfee explican:"Permite a los usuarios crear una carpeta especial que actúa como un acceso directo a la configuración de Windows y carpetas especiales, tales como el Panel de control, mi PC, o la carpeta de Impresoras. Este "modo Dios" puede ser útil para los administradores, pero los atacantes están usando esta característica indocumentada para fines malvados. Los archivos colocados dentro de uno de estos atajos del panel de control maestro no son fácilmente accesibles desde el explorador de Windows porque las carpetas no se abren como otras carpetas, sino que más bien redirecciona al usuario".En el caso de Dynamer, se crea una clave en el registro que se ejecuta automáticamente cuando se inicia Windows, y persiste a través de los reinicios:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunLSM = C:\Users\admin\AppData\Roaming\com4. {241D7C96-F8BF-4F85-B01F-E2B043341A4B} \lsm.exeEste comando permite no sólo que el malware se ejecute, sino que también abre RemoteApp y da entrada al panel de control de las conexiones de escritorio oculta. Utilizando el nombre 'com4' los creadores de malware han hecho que la vida de las víctimas sea un poco más complicada. Como esto se detecta como un comando de Windows, la eliminación del archivo está bloqueada.McAfee aconseja emplear la siguiente técnica para matar el problema:En primer lugar, el proceso del malware debe ser terminado (a través de administrador de tareas u otras herramientas estándar).A continuación, ejecute este comando especialmente diseñado desde línea de comandos (cmd.exe):rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q                                  Fuente: BetaNew

Para estar informado de los últimos artículos, suscríbase: