Hace dos años hablábamos de un huevo de pascua que Microsoft introdujo en Windows Vista denominado "Modo Dios" o "God Mode", a través del cual y simplemente creando una carpeta con un nombre específico podíamos (y seguimos pudiendo) acceder a un montón de accesos directos del panel de configuración y otras opciones. Si recordáis:
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}Recientemente McAfee ha descubierto un troyano bautizado como Dynamer que para ganar persistencia se aprovecha de esta característica añadiendo al registro un acceso directo al ítem del panel de control "Conectarse a escritorios y programas en su lugar de trabajo":
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exeY no sólo eso, si intentas borrar el directorio/acceso directo desde el explorador Windows no te lo permitirá:
Eso es debido a que el sistema operativo no permite borrar ni crear directorios con nombres de acceso a dispositivos (“con”, “prn”, “nul”, “com1”, “com2”, “lpt1”, etc.), al menos directamente, si no se hace específicamente:
rd \\.\c:\tmp\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}Fuente: hackplayers.com