Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Internet World - Multimedia > Segnalazioni Web

Notices

Rispondi
 
Strumenti discussione
Vecchio 29-04-2016, 21.06.05   #1
xilo76
Forum supporter
Global Moderator
 
Registrato: 23-08-2007
Messaggi: 2.704
xilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tutti
La modalità divina di windows viene sfruttata da un malware

Quella che segue è una LIBERA traduzione dell'articolo Windows GodMode Abused by Malware (cliccami) redatto Venerdì 29 Aprile 2016 da Catalin Cimpanu, redattore delle notizie su softpedia.com.

La modalità divina di windows viene sfruttata da un malware
La backdoor del trojan dynamer utilizza la modalità divina di Windows come cavallo di troia per poter ottenere la persistenza sui computer infetti

I ricercatori della sicurezza informatica di McAfee Labs hanno incontrato una nuova famiglia di malware che sta abusando di una modalità nascosta di windows, che viene chiamata "modalità divina" (GodMode o super pannello di controllo)

La GodMode consiste in un pezzo di codice che Microsoft ha lasciato all'interno di Windows, a partire da Vista, che consente agli utenti di creare una cartella con un nome ben preciso, trasformandola automaticamente in un contenitore in cui sono elencati tutti i collegamenti a tutte le impostazioni del pannello di controllo.
Nessuno sa perchè esista, ma molto probabilmente è stata creata e utilizzata dagli sviluppatori della Microsoft allo scopo di eliminare i difetti di windows.
Gli utenti di windows possono piazzare ovunque le cartelle Godmode; basta creare una cartella e darle questo nome:
Codice:
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
"GodMode" può essere rimpiazzata con altre lettere o parole a piacimento.
I ricercatori di McAfee hanno rivelato di aver visto del malware che utilizza questo trucco, con una leggera modifica.

La modalità divina viene sfruttata da Dynamer per aprire connessioni backdoor

Il malware chiamato Dynamer stava infettando i computer e, al fine di ottenere la persistenza su di essi, stava aggiungendo una nuova voce al registro locale di Windows, avviando automaticamente il processo dannoso a ogni avvio dei PC.
Questa chiave di registro conteneva un percorso leggermente modificato della GodMode, che apriva e reindirizzava gli utenti alla Connessione RemoteApp e desktop (del Pannello di controllo).
Tenendo conto che Microsoft categorizza Dynamer come un Trojan backdoor, appare evidente che sia stato questo il modo in cui il malware apriva le connessioni (dal PC infettato) verso il suo server di riferimento. La chiave di registro di Dynamer è la seguente:
Codice:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Come si può vedere, il percorso GodMode è leggermente diverso per collegare direttamente alla "Connessione RemoteApp e desktop".

Il malware era quasi inamovibile. Quasi.

Inoltre, la stringa GodMode viene sostituita con COM4. Anche se la stringa GodMode non è mai obbligatoria per creare la modalità divina del pannello di controllo, infatti gli utenti di windows la sostituiscono spesso con ciò che più li aggrada, usare la stringa com4 ha alcune ripercussioni.
Craig Schmugar, ricercatore dei McAfee Labs, ha spiegato che "L'autore del malware ha cercato di dare la vita eterna a questo elenco, anteponendo 'com4'. Tali nomi di dispositivo sono proibiti dai normali comandi di Windows Explorer e del prompt dei comandi; Windows tratta questa cartella come un dispositivo, impedendo così agli utenti di cancellare facilmente la cartella con i tipici comandi dell'interfaccia grafica di windows o con quelli della riga di comando".
Ciò non di meno la squadra di McAfee ha trovato un modo per eliminare tali elementi dannosi dal PC: gli utenti possono eseguire il prossimo comando per eliminare il malware; nel caso in cui Dynamer si trovi in altri percorsi, dovrà essere usato il percorso corretto.
Codice:
rd "\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}" /S /Q
___________________________________


Ultima modifica di xilo76 : 29-04-2016 alle ore 22.30.14
xilo76 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è ON

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
AutoPatcher Vista June 2007 giancarlof Segnalazioni Web 4 07-08-2007 22.16.05
Strumento di rimozione malware per Windows v1.19 Thor Archivio News Software 1 14-11-2006 22.19.47
Windows Patches Gervy Archivio News Web 20 13-08-2006 19.39.27
M.S.B. Dicembre Gervy Archivio News Web 0 13-12-2005 23.24.39
Windows Patches Gervy Archivio News Web 5 17-06-2005 14.58.41

Orario GMT +2. Ora sono le: 01.28.20.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.