该楼层疑似违规已被系统折叠 隐藏此楼查看此楼
这些模块被安装在%windir%\system32\路径中: mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys 从C&C服务器上下载的额外模块会被安装到同一个目录下。Flame恶意程序的各种模块会生成许多的数据文件,包括大量的执行日志以及收集到的信息——屏幕截图、进程列表、硬件列表等。这些文件会以下列文件名保存在%windir%\temp目录下: ~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat 在%windir%\system32目录中可能还会有以下文件: Advpck.dat
ntaps.dat
Rpcnc.dat Also, in %windir%\: Ef_trace.log Flame使用不同的格式储存文件中的恒定数据。所有的数据使用多种运算法则和密钥进行加密。一些文件则是使用内嵌的SQLite3库创建的数据库。这些数据库包含的数据一方面来自数据窃取的过程,另一方面则来自其复制的过程。我们之后会发表更进一步的信息。 不同类型的Flame组件所使用的目录名会有些许不同,这取决于资源146中的安装和配置选项: C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix 这些路径可能包含以下文件: dstrlog.dat
lmcache.dat
mscrypt.dat (or wpgfilter.dat)
ntcache.dat
rccache.dat (or audfilter.dat)
ssitable (or audache)
secindex.dat
wavesup3.drv (a copy of the main module, mssecmgr.ocx, in the MSAudio directory) Flame还可以产生或下载有下列名称的文件: svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx 因此,我们可以得出一个可以快速检测自己的系统是否已被Flame感染的方法。 1.查找文件~DEB93D.tmp。如果系统中存在这样的文件,那就意味着已被Flame感染。 2. 检测注册表键HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages。如果你找到了mssecmgr.ocx或者authpack.ocx,那么你的设备已经被Flame感染。 3.检查以下日志是否存在,如果存在则说明被感染: C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix 4.查找其它前面提到的文件名。这些文件名都十分特殊,并且是独一无二的,如果发现它们存在,则极有可能已经感染了Flame。