Expertos en seguridad han detectado la
existencia de una puesta trasera llamada Dynamer que está aprovechando una
funcionalidad “oculta” en los sistemas operativos Windows. El conocido como
“modo dios“, se ha incluido en los sistemas operativos de los de Redmond desde
Vista y permite crear una carpeta y otorgarla unas características especiales y
convertirse en contenedora de de elementos del Panel de Control del sistema.
Se trata de algo que por defecto no
está activado y es probable que pocos usuarios conozcan su finalidad e incluso
su existencia. Aunque no se sabe a ciencia cierta cuál es el propósito de esta,
expertos del sector creen que los de Redmond introdujeron esto para llevar a
cabo labores de debugging durante el desarrollo de los sistemas operativos.
Desde la empresa de seguridad de
McAfee han detectado la presencia de una amenaza (concretamente una puerta
trasera) que hace uso de las posibilidades de esta funcionalidad oculta.
Bautizada con el nombre Dynamer, se vale de esta para ganar persistencia en el
sistema añadiendo una entrada en el registro del sistema operativo.
Este es el registro
que crea la amenaza:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm =
C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Desde la empresa de seguridad
propiedad de Intel han puntualizado que se establecen conexiones periódicas con
un servidor remoto aunque no está del todo claro la finalidad de estas, si es
el envío de información o la recepción de características adicionales.
Para evitar que los usuarios puedan
borrar Dynamer del equipo, los ciberdelincuentes los han asignado al sistema
como un dispositivo, siendo mucho más complicado llevar a cabo su borrado.
Dynamer y el control
remoto del dispositivo
- A la vista de
todo lo mencionado, hay que decir que la funcionalidad más importante es
permitir la gestión y el control remoto del dispositivo. Desde McAfee han
definido la amenaza como una aplicación muy similar a la integrada en el
propio sistema operativo y que permite llevar a cabo el control remoto del
mismo.
- Ante el problema
de la eliminación de la amenaza, los usuarios poseen la posibilidad de
ejecutar el siguiente comando: rd
“\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
- En el caso de
que el archivo se encuentre en otra ubicación solo es necesario modificar
la dirección del anterior comando. Otra opción es llevar a cabo la
restauración del sistema operativo a un estado anterior.