Metoda sprawdzenia systemu operacyjnego pod kątem infekcji Flamem

Poniżej prezentujemy (za Kaspersky Lab) metodę “ręcznego” sprawdzenia systemu operacyjnego pod kątem infekcji Flamem:

Przeprowadź wyszukiwanie pliku ~DEB93D.tmp. Jego obecność w systemie oznacza, że system jest lub był zainfekowany przez Flame'a.

Sprawdź klucz rejestru HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages.

Jeżeli znajdziesz tam obiekt mssecmgr.ocx lub authpack.ocx - system jest zainfekowany przez Flame'a.

Sprawdź obecność poniższych katalogów. Jeżeli je znajdziesz - system jest zainfekowany przez Flame'a.

• C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr

• C:\Program Files\Common Files\Microsoft Shared\MSAudio

• C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

• C:\Program Files\Common Files\Microsoft Shared\MSAPackages

• C:\Program Files\Common Files\Microsoft Shared\MSSndMix

Katalogi te mogą zawierać następujące pliki:

dstrlog.dat
lmcache.dat
mscrypt.dat (lub wpgfilter.dat)
ntcache.dat
rccache.dat (lub audfilter.dat)
ssitable (lub audache)
secindex.dat
wavesup3.drv (kopia głównego modułu, mssecmgr.ocx, w katalogu MSAudio)

Przeprowadź poszukiwania pozostałych nazw podanych niżej. Wszystkie z nich są dość unikatowe i ich obecność jest równoznaczna z dużym prawdopodobieństwem infekcji Flamem.

W katalogu %windir%\system32\:

mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys

Moduły szkodnika Flame produkują całą masę plików danych, które zawierają obszerne dzienniki i raporty oraz zgromadzone informacje - zrzuty ekranu, listy procesów, listy konfiguracji sprzętowych itp.

Pliki są zapisywane w katalogu %windir%\temp z użyciem poniższych nazw:

~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat

Istnieją również opcjonalne pliki, które można znaleźć w katalogu %windir%\system32:

Advpck.dat
ntaps.dat
Rpcnc.dat

A także w katalogu %windir%\:

Ef_trace.log

Flame może także tworzyć lub pobierać pliki z następującymi nazwami:

svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx

Źródło: Kaspersky Lab