Infractorii cibernetici folosesc modul dezvoltator al MS Windows, numit „God Mode”, pentru a-și ascunde malware-ul. Modul Dumnezeu este practic o comandă rapidă pentru a accesa diferite setări de control în Windows Vista și sistemele de operare ulterioare.
„Modul Dumnezeu” este de fapt derivat din comanda rapidă Windows Master Control Panel, este o caracteristică nedocumentată care este prezentă în Windows Vista și versiunile ulterioare. De fapt, permite utilizatorului să creeze un folder special care să le ofere acces rapid la toate panourile de control și setările Windows, cum ar fi Computerul meu, folderul Imprimante.
Cu toate acestea, arhitectul de cercetare de la McAfee, Craig Schmugar pe 26 aprilie a spus „Atacatorii folosesc acum această caracteristică nedocumentată în scopuri rele”.
McAfee a descoperit un caz al troianului Dynamer ascuns într-un dosar de comenzi rapide. În special, malware-ul este conceput pentru a face față repornirilor și atunci când utilizatorii care nu sunt conștienți de acest malware încearcă să deschidă folderul în care este ascuns malware-ul, văd o fereastră fără fișiere.
„Pentru a înrăutăți lucrurile”, spune Schmugar, „autorul malware-ului a încercat să ofere acestui director viață eternă, pre-așteptând numele„ com4 ”. Astfel de nume de dispozitive sunt interzise de comenzile normale Windows Explorer și cmd.exe, iar Windows tratează folderul ca fiind un dispozitiv - împiedicând astfel utilizatorii să șteargă cu ușurință folderul cu Explorer sau consola tipică comenzi. ”
McAfee nu a menționat detalii suplimentare despre persoana care a scris acest malware. Cu toate acestea, a oferit o soluție utilizatorilor, li se recomandă utilizatorilor să elimine programele malware folosind Task Manager sau pur și simplu să execute această comandă utilizând promptul de comandă [cmd.exe]:
> rd „\\. \% appdata% \ com4. {241D7C96-F8BF-4F85-B01F-E2B043341A4B}” / S / Q
McAfee a descoperit, de asemenea, noi programe malware „macro” care exploatează ofuscarea avansată și diferite straturi de evaziune pentru a eluda detectarea.
Programul malware „Macro”, care era obișnuit în anii 1990, elimină în mod normal fișiere MS Office dăunătoare prin macrocomenzi care conțin Scripturi Visual Basic. McAfee Lab’s, Devendra Singh, a declarat că cea mai recentă variantă descoperită în sălbăticie folosește conștientizarea mașinilor virtuale pentru a eluda analiza de către cercetătorii în securitate și sandbox pentru a eluda capcanele pentru vase de miere.
Singh a spus: „Acești actori au compromis un site web legitim pentru a-și implementa sarcina utilă. În timpul analizei noastre, această legătură codificată a furnizat un fișier care indica faptul că atacatorii încă pregăteau mediul și nu încărcaseră încă o încărcătură rău intenționată. Intel Security a contactat proprietarul site-ului. ”