Poniżej prezentujemy (za Kaspersky Lab) metodę “ręcznego” sprawdzenia systemu operacyjnego pod kątem infekcji Flamem:
Przeprowadź wyszukiwanie pliku ~DEB93D.tmp. Jego obecność w systemie oznacza, że system jest lub był zainfekowany przez Flame'a.
Sprawdź klucz rejestru HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages.
Jeżeli znajdziesz tam obiekt mssecmgr.ocx lub authpack.ocx - system jest zainfekowany przez Flame'a.
Sprawdź obecność poniższych katalogów. Jeżeli je znajdziesz - system jest zainfekowany przez Flame'a.
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
Katalogi te mogą zawierać następujące pliki:
dstrlog.dat
lmcache.dat
mscrypt.dat (lub wpgfilter.dat)
ntcache.dat
rccache.dat (lub audfilter.dat)
ssitable (lub audache)
secindex.dat
wavesup3.drv (kopia głównego modułu, mssecmgr.ocx, w katalogu MSAudio)
Przeprowadź poszukiwania pozostałych nazw podanych niżej. Wszystkie z nich są dość unikatowe i ich obecność jest równoznaczna z dużym prawdopodobieństwem infekcji Flamem.
W katalogu %windir%\system32\:
mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys
Moduły szkodnika Flame produkują całą masę plików danych, które zawierają obszerne dzienniki i raporty oraz zgromadzone informacje - zrzuty ekranu, listy procesów, listy konfiguracji sprzętowych itp.
Pliki są zapisywane w katalogu %windir%\temp z użyciem poniższych nazw:
~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat
Istnieją również opcjonalne pliki, które można znaleźć w katalogu %windir%\system32:
Advpck.dat
ntaps.dat
Rpcnc.dat
A także w katalogu %windir%\:
Ef_trace.log
Flame może także tworzyć lub pobierać pliki z następującymi nazwami:
svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx
Źródło: Kaspersky Lab