In che modo stuxnet ha nascosto i suoi file dopo l'infezione?

Naviga le tue risposte
1

Ho notato che quando viene caricato ~WTR4141.tmp , non imposta hidden attributi di file in .lnk file e sull'altro .tmp rootkit file del pacchetto Stuxnet.

Ho visto che questi sono tutti i possibili attributi di file su Windows: 

Let-  Bit   
ter   masks Description and notes
--- ------- ------------------------------------------------------------------
 R      0x1 Read-only
 H      0x2 Hidden
 S      0x4 System
(V)     0x8 Volume label (obsolete in NTFS and must not be set)
 D     0x10 Directory
 A     0x20 Archive
 X     0x40 Device (reserved by system and must not be set)
 N     0x80 Normal (i.e. no other attributes set)
 T    0x100 Temporary
 P    0x200 Sparse file
 L    0x400 Symbolic link / Junction / Mount point / has a reparse point
 C    0x800 Compressed (flag changable with directories only)
 O   0x1000 Offline
 I   0x2000 Not content indexed (displayed as 'N' in Explorer in Windows Vista)
 E   0x4000 Encrypted
(V)  0x8000 Integrity (Windows 8 ReFS only; attribute not displayed in Explorer)
 -  0x10000 Virtual (reserved by system and must not be set)
(X) 0x20000 No scrub (Windows 8 ReFS only; attribute not displayed in Explorer)

(Tratto da: link )

Quindi la mia domanda è semplice: come si nasconde Stuxnet?

    
posta omerowitz 31.01.2017 - 00:17
fonte

1 risposta

4

Anche la risposta è semplice: iniettati in Explorer e aggancia le seguenti funzioni:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile .

Symantec ha un po 'di più in profondità spiegazione.

    
risposta data 30.04.2017 - 16:33
fonte

Leggi altre domande sui tag

Perché limitare il nome della variabile richiesta e le lunghezze dei valori Quali problemi di sicurezza ci sono con l'accesso remoto per firewall, router, ecc.?