Expertos en seguridad han detectado la existencia de una puesta trasera llamada Dynamer que está aprovechando una funcionalidad “oculta” en los sistemas operativos Windows. El conocido como “modo dios“, se ha incluido en los sistemas operativos de los de Redmond desde Vista y permite crear una carpeta y otorgarla unas características especiales y convertirse en contenedora de de elementos del Panel de Control del sistema.
Se trata de algo que por defecto no está activado y es probable que pocos usuarios conozcan su finalidad e incluso su existencia. Aunque no se sabe a ciencia cierta cuál es el propósito de esta, expertos del sector creen que los de Redmond introdujeron esto para llevar a cabo labores de debugging durante el desarrollo de los sistemas operativos.
Desde la empresa de seguridad de McAfee han detectado la presencia de una amenaza (concretamente una puerta trasera) que hace uso de las posibilidades de esta funcionalidad oculta. Bautizada con el nombre Dynamer, se vale de esta para ganar persistencia en el sistema añadiendo una entrada en el registro del sistema operativo.
Este es el registro que crea la amenaza:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Desde la empresa de seguridad propiedad de Intel han puntualizado que se establecen conexiones periódicas con un servidor remoto aunque no está del todo claro la finalidad de estas, si es el envío de información o la recepción de características adicionales.
Para evitar que los usuarios puedan borrar Dynamer del equipo, los ciberdelincuentes los han asignado al sistema como un dispositivo, siendo mucho más complicado llevar a cabo su borrado.
Dynamer y el control remoto del dispositivo
A la vista de todo lo mencionado, hay que decir que la funcionalidad más importante es permitir la gestión y el control remoto del dispositivo. Desde McAfee han definido la amenaza como una aplicación muy similar a la integrada en el propio sistema operativo y que permite llevar a cabo el control remoto del mismo.
Ante el problema de la eliminación de la amenaza, los usuarios poseen la posibilidad de ejecutar el siguiente comando:
rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
En el caso de que el archivo se encuentre en otra ubicación solo es necesario modificar la dirección del anterior comando. Otra opción es llevar a cabo la restauración del sistema operativo a un estado anterior.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
