Ho letto Symantec e amp; Analisi Kaspersky Lab del malware Regin.
Secondo Symantec
[Stage 2] can also hide running instances of Stage 1. Once this happens, there are no remaining plainly visible code artifacts.
Come ho capito, lo Stage 1 è implementato come un driver di Windows e non esiste un modo sicuro per scaricare un driver di Windows senza richiedere il riavvio (anche se lo stesso Stage 2 è anch'esso un altro driver del kernel).
Allo stesso modo, da quello che posso dire non esiste modo (né legittimamente dovrebbe esserci) per intercettare e manipolare l'elenco dei driver del kernel in esecuzione, il modo in cui un rootkit potrebbe per un file sul file system.
Quindi, in che modo Stage 2 nasconde le istanze in esecuzione di Stage 1? Ci sono poche informazioni su questo online?
Fonte: link - Pagina 9