Me he dado cuenta de que cuando se carga ~WTR4141.tmp
, no establece los atributos de archivo hidden
en los archivos .lnk
y en el otro archivo .tmp
rootkit del paquete Stuxnet.
He visto que estos son todos los atributos de archivo posibles en Windows:
Let- Bit
ter masks Description and notes
--- ------- ------------------------------------------------------------------
R 0x1 Read-only
H 0x2 Hidden
S 0x4 System
(V) 0x8 Volume label (obsolete in NTFS and must not be set)
D 0x10 Directory
A 0x20 Archive
X 0x40 Device (reserved by system and must not be set)
N 0x80 Normal (i.e. no other attributes set)
T 0x100 Temporary
P 0x200 Sparse file
L 0x400 Symbolic link / Junction / Mount point / has a reparse point
C 0x800 Compressed (flag changable with directories only)
O 0x1000 Offline
I 0x2000 Not content indexed (displayed as 'N' in Explorer in Windows Vista)
E 0x4000 Encrypted
(V) 0x8000 Integrity (Windows 8 ReFS only; attribute not displayed in Explorer)
- 0x10000 Virtual (reserved by system and must not be set)
(X) 0x20000 No scrub (Windows 8 ReFS only; attribute not displayed in Explorer)
(Tomado de: enlace )
Así que mi pregunta es simple: ¿cómo se oculta stuxnet?