El backdoor Dynamer saca provecho del modo dios de Windows

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Expertos en seguridad han detectado la existencia de una puesta trasera llamada Dynamer que está aprovechando una funcionalidad “oculta” en los sistemas operativos Windows. El conocido como “modo dios“, se ha incluido en los sistemas operativos de los de Redmond desde Vista y permite crear una carpeta y otorgarla unas características especiales y convertirse en contenedora de de elementos del Panel de Control del sistema.

Se trata de algo que por defecto no está activado y es probable que pocos usuarios conozcan su finalidad e incluso su existencia. Aunque no se sabe a ciencia cierta cuál es el propósito de esta, expertos del sector creen que los de Redmond introdujeron esto para llevar a cabo labores de debugging durante el desarrollo de los sistemas operativos.

Desde la empresa de seguridad de McAfee han detectado la presencia de una amenaza (concretamente una puerta trasera) que hace uso de las posibilidades de esta funcionalidad oculta. Bautizada con el nombre Dynamer, se vale de esta para ganar persistencia en el sistema añadiendo una entrada en el registro del sistema operativo.

Este es el registro que crea la amenaza:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Desde la empresa de seguridad propiedad de Intel han puntualizado que se establecen conexiones periódicas con un servidor remoto aunque no está del todo claro la finalidad de estas, si es el envío de información o la recepción de características adicionales.

Para evitar que los usuarios puedan borrar Dynamer del equipo, los ciberdelincuentes los han asignado al sistema como un dispositivo, siendo mucho más complicado llevar a cabo su borrado.

Dynamer y el control remoto del dispositivo

A la vista de todo lo mencionado, hay que decir que la funcionalidad más importante es permitir la gestión y el control remoto del dispositivo. Desde McAfee han definido la amenaza como una aplicación muy similar a la integrada en el propio sistema operativo y que permite llevar a cabo el control remoto del mismo.

Ante el problema de la eliminación de la amenaza, los usuarios poseen la posibilidad de ejecutar el siguiente comando:

ss6

rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

En el caso de que el archivo se encuentre en otra ubicación solo es necesario modificar la dirección del anterior comando. Otra opción es llevar a cabo la restauración del sistema operativo a un estado anterior.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone