xaverdunn
Goto Top

Was macht der...da der Virus.

Hallo,

ärgere mich gerade mit einen Virus rum den ich in einer virtuellen Umgebung laufen habe.
Verschleiert sich mit einen Rootkit bin ihm aber auf den Fers gekommen.
Allerdings habe ich einige Sachen gefunden die ich nicht ganz nachvollziehen kann.
Dabei geht es um das setzen von Flags und Attributen für die Datei.
Auszug aus Protokoll:
(FILE_ATTRIBUTE_HIDDEN SECURITY_ANONYMOUS)
	Set File Attributes: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
	Get File Attributes: c:\ Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\WINDOWS\ Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\Dokumente und Einstellungen\All Users\Dokumente\desktop.ini Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\WINDOWS\Registration Flags: (SECURITY_ANONYMOUS)
	Get File Attributes: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe:Zone.Identifier Flags: (SECURITY_ANONYMOUS)
Was bedeuten die Angaben:
(OPEN_EXISTING),
(FILE_ANY_ACCESS FILE_READ_ATTRIBUTES),
(FILE_SHARE_READ),
(FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
(FILE_SHARE_READ FILE_SHARE_WRITE), 
(FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Hat jemand eine kurze Erklärung, vermute ein setzen von Attributen im Filesystem oder der Registy.
Wie setzt er ein Attribut aus einer .exe herraus, seiner eigenen Anwendung?

MfG Xaverdunn

Content-Key: 112625

Url: https://administrator.de/contentid/112625

Ausgedruckt am: 29.03.2024 um 14:03 Uhr