¿Cómo ocultó stuxnet sus archivos después de la infección?

Navega tus respuestas
1

Me he dado cuenta de que cuando se carga ~WTR4141.tmp , no establece los atributos de archivo hidden en los archivos .lnk y en el otro archivo .tmp rootkit del paquete Stuxnet.

He visto que estos son todos los atributos de archivo posibles en Windows: 

Let-  Bit   
ter   masks Description and notes
--- ------- ------------------------------------------------------------------
 R      0x1 Read-only
 H      0x2 Hidden
 S      0x4 System
(V)     0x8 Volume label (obsolete in NTFS and must not be set)
 D     0x10 Directory
 A     0x20 Archive
 X     0x40 Device (reserved by system and must not be set)
 N     0x80 Normal (i.e. no other attributes set)
 T    0x100 Temporary
 P    0x200 Sparse file
 L    0x400 Symbolic link / Junction / Mount point / has a reparse point
 C    0x800 Compressed (flag changable with directories only)
 O   0x1000 Offline
 I   0x2000 Not content indexed (displayed as 'N' in Explorer in Windows Vista)
 E   0x4000 Encrypted
(V)  0x8000 Integrity (Windows 8 ReFS only; attribute not displayed in Explorer)
 -  0x10000 Virtual (reserved by system and must not be set)
(X) 0x20000 No scrub (Windows 8 ReFS only; attribute not displayed in Explorer)

(Tomado de: enlace )

Así que mi pregunta es simple: ¿cómo se oculta stuxnet?

    
pregunta omerowitz 31.01.2017 - 00:17
fuente

1 respuesta

4

La respuesta también es simple: inyecte en el Explorador y enganche las siguientes funciones:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile .

Symantec tiene un poco más de profundidad explicación.

    
respondido por el Jonathan Allon 30.04.2017 - 16:33
fuente

Lea otras preguntas en las etiquetas

El portal cautivo (Wifi) me recuerda incluso si cambio mi dirección MAC ¿Buen método para almacenar el contenido del usuario encriptado sin almacenar la clave del usuario en texto sin formato?