¿Cómo ocultó stuxnet sus archivos después de la infección?

1

Me he dado cuenta de que cuando se carga ~WTR4141.tmp , no establece los atributos de archivo hidden en los archivos .lnk y en el otro archivo .tmp rootkit del paquete Stuxnet.

He visto que estos son todos los atributos de archivo posibles en Windows:

Let-  Bit   
ter   masks Description and notes
--- ------- ------------------------------------------------------------------
 R      0x1 Read-only
 H      0x2 Hidden
 S      0x4 System
(V)     0x8 Volume label (obsolete in NTFS and must not be set)
 D     0x10 Directory
 A     0x20 Archive
 X     0x40 Device (reserved by system and must not be set)
 N     0x80 Normal (i.e. no other attributes set)
 T    0x100 Temporary
 P    0x200 Sparse file
 L    0x400 Symbolic link / Junction / Mount point / has a reparse point
 C    0x800 Compressed (flag changable with directories only)
 O   0x1000 Offline
 I   0x2000 Not content indexed (displayed as 'N' in Explorer in Windows Vista)
 E   0x4000 Encrypted
(V)  0x8000 Integrity (Windows 8 ReFS only; attribute not displayed in Explorer)
 -  0x10000 Virtual (reserved by system and must not be set)
(X) 0x20000 No scrub (Windows 8 ReFS only; attribute not displayed in Explorer)

(Tomado de: enlace )

Así que mi pregunta es simple: ¿cómo se oculta stuxnet?

    
pregunta omerowitz 31.01.2017 - 00:17
fuente

1 respuesta

4

La respuesta también es simple: inyecte en el Explorador y enganche las siguientes funciones:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile .

Symantec tiene un poco más de profundidad explicación.

    
respondido por el Jonathan Allon 30.04.2017 - 16:33
fuente

Lea otras preguntas en las etiquetas