Le God Mode de Windows 10 a offert une belle porte d'entrée au malware Dynamer

Les gars du labo de sécurité de chez McAfee ont découvert un type de malware qui se sert du GodMode de Windows (disponible depuis Windows Vista) pour se faire une place au chaud sur votre machine. Pour ceux qui ne connaissent pas la chose, en renommant un dossier ainsi sous Windows :

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Vous vous retrouvez avec un dossier comprenant toutes les fonctionnalités administrateur du système d'exploitation. Ca peut être pratique dans un sens, mais mettre tous ses oeufs dans le même panier n'est pas toujours une bonne idée, comme le montre bien le malware Dynamer.

Le bestiau se planque dans le répertoire "Application Data" et ajoute une clef au registre de Windows pour qu'on ne puisse pas le déloger et réapparaitre à chaque redémarrage :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Il fonctionne de la même façon que le GodMode en plus de se nommer "com4", chose qui n'est pas autorisée en règle générale. De cette façon, il est traité par la machine en tant que périphérique et ne peut être supprimé. Sournois hein ? Actuellement détecté par toutes les solutions de protection (même Windows Defender), le coco a pu sévir un moment, même si le retirer n'a rien de compliqué puisqu'il suffit de faire le faire sauter via le gestionnaire des tâches et en tapant cette commande qui va bien via cmd.exe :

rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Comme quoi, la moindre fonctionnalité peut servir de porte à quelqu'un de malveillant, d'autant plus lorsque des outils d'administrations sont à leur portée. Pour éviter ce genre de blague, tenez-vous à jour, protégez-vous et surtout, évitez les zones à risque puisque la première défense de votre machine se trouve entre son clavier et la chaise de votre bureau !