Windows'un God Mode'u, zararlıların elinde!

Windows'un ilginç özelliklerinden biri, kötü amaçlı yazılımların hedefi olmaktan kaçamadı!

Windows'un "God Mode" özelliği, gelişmiş bazı yeteneklere hızlı bir şekilde ulaşmanızı sağlamakta ve bu gizli özellik, geçtiğimiz 10 yılın büyük bir kısmında Windows'un bir parçasıydı. Ancak McAfee araştırmacılarının yeni bulgularına göre, bu klasör adı değiştirme özelliğini kullanarak kullanıcılardan saklanan yeni bir kötü amaçlı yazılım bulunmakta.

God Mode, adını aldığı Doom özelliğinin aksine teknik olarak sistemde yeni yetenekler ortaya çıkartmıyor. Bunun yerine çeşitli kontrol paneli seçeneklerini bir "klasörün" içerisine topluyor. Ancak bu klasör, her ne kadar normal bir klasör gibi başlasa da normal bir klasör olmuyor. Klasörü yarattıktan sonra GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} gibi bir isim verilmesi, klasörün bir "God Mode" bağlantısına dönüşmesini sağlıyor. Bu noktadan sonra klasör, standart klasör simgesine sahip olmuyor ve hatta sistem, bu klasörleri diğer klasörlerden farklı algılıyor.

McAfee'nin söylediğine göre Dynamer adlı var olan bir kötü amaçlı yazılımın yeni bir türü ortaya çıkmış durumda. Bu yeni yazılım, sisteme yüklendikten sonra kendisini AppData klasörüne yerleştiriyor ve God Mode'a benzer bir genel kontrol paneli klasörüne dönüştürüyor. Her ne kadar God Mode seçeneği var olan bir sistem özelliği olsa da, resmi olarak belgelenmiş bir özellik değil. Var olan araçların ve uygulamaların büyük bir çoğunluğu, bu klasörlerin içerisindeki eşyalara ulaşamıyorlar ve bu da bu klasörleri kötü amaçlı bir yazılımın saklanması için mükemmel yerler haline getiriyor.

Kullanıcı, bu dosyayı fark etmeyi başarsa bile, değiştirilmiş dosya basit bir şekilde RemoteApp ve Desktop Connections kontrol paneli eşyalarına dönüş yaparak, ilgi çekici bir şeyin olmadığı algısını yaratıyor. Hatta bu yazılımın yaratıcısı, kandırmasını bir adım daha ileri götürerek "com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}" adını kullanmış durumda. Windows'da, "com4" isimli her şey özel yetkilere sahip oluyorlar ve Explorer ve cmd.exe bu dosyayı bir cihaz olarak algılıyorlar. Bu yüzden de standart dosya yönetimi komutlarından etkilenmiyor.

Her ne kadar bütün umut kaybolmuş gibi gözükse de, bu kötü amaçlı yazılım o kadar da dokunulmaz değil ve sadece Windows'un bazı garip özelliklerini kullanarak kullanıcıları ve sistemi şaşırtmaya ve yanlış yöneltmeye çalışıyor. Dynamer, Görev Yöneticisinden çalışması durdurulması ile başlayan birkaç adımda bilgisayardan kaldırılabiliyor. Çalışma durdurulduktan sonra komut istemini açarak "rd "\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}" /S /Q" komutunu girmeniz yeterli oluyor. Bu komut, bir klasörü hiçbir onay istemeden silmekte ve bu da yazılımdan kurtulmanızı sağlamakta.

Ancak bu durum, bir yazılımın Windows'un ilginç özelliklerini kendisine karşı kullandığı ilk durum değil. Eğer bu yazılımların sayısı daha da artarsa, Microsoft'un bu tür süper-klasörlerin kolay bir şekilde yaratılmasını engellemek için bir değişiklik yapması muhtemeldir.

Sonraki Haber

Forum