Троян использует «режим Бога» Windows, чтобы спрятаться в системе

Аналогично, удаление невозможно из консоли.

Узбекско-русский онлайн-переводчик и словарь

Обновите, пожалуйста, страницу. Набранный текст и перевод не потеряются.

Обновить страницу

Не удалось открыть подборки

Переводчик не смог соединиться с базой данных браузера. Если ошибка повторяется из раза в раз, пожалуйста, напишите в поддержку. Обратите внимание, что подборки могут не работать в режиме инкогнито.

Чтобы подборки заработали, перезапустите браузер

Яндекс.Переводчик — мобильный и веб-сервис, который переводит с узбекского на русский как слова, фразы и связные тексты, так и целые веб-страницы. Перевод сопровождается примерами использования и транскрипцией, есть возможность услышать произношение слов. В режиме сайта сервис переводит всё текстовое содержимое страницы, адрес которой вы укажете. Знает не только Узбекский и Русский , но и ещё 100 языков.

• Мобильная версия
• Справка
• Популярные переводы
• Разработчикам
• Участие в исследованиях
• Пользовательское соглашение
• Переводите в Яндекс Браузере

Троян использует «режим Бога» Windows, чтобы спрятаться в системе

Как известно, в операционной системе Windows Vista, 7, 8 и 10 есть своеобразная пасхалка — GodMode (режим Бога). Начиная с версии Vista можно создать папку со специфическим именем, которая перенаправляет на настройки Windows или служебные папки, такие как «Панель управления», «Компьютер», «Принтеры» и проч.

Например, если создать на рабочем столе папку с названием GodMode. (вместо GodMode можно указать любые символы), то внутри будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»: скриншот.

Очень удобная фича для управления настройками в системе и для системного администрирования.

К сожалению, режим Бога используют не только сисадмины, но и авторы вирусов.

Специалисты из антивирусной компании McAfee Labs рассказывают о трояне Dynamer, который использует режим Бога, чтобы скрыться от обнаружения в системе.

Dynamer при установке записывает свои файлы в одну из таких папок внутри %AppData%. В реестре создаётся ключ, который сохраняется после перезагрузки, запуская каждый раз бинарник зловреда.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsm = C:\Users\admin\AppData\Roaming\com4.\lsm.exe

Таким образом, исполняемый файл нормально запускается по команде из реестра, но вручную зайти в эту папку нельзя: как указано в списке выше, папка работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).

Вот содержимое папки, если открыть её в проводнике.

Более того, авторы трояна добавили к названию папки “com4.”, так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.

Аналогично, удаление невозможно из консоли.

Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.

Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.

В качестве бонуса.

Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows