该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

这些模块被安装在%windir%\system32\路径中： mssecmgr.ocx

advnetcfg.ocx

msglu32.ocx

nteps32.ocx

soapr32.ocx

ccalc32.sys

boot32drv.sys 从C&C服务器上下载的额外模块会被安装到同一个目录下。Flame恶意程序的各种模块会生成许多的数据文件，包括大量的执行日志以及收集到的信息——屏幕截图、进程列表、硬件列表等。这些文件会以下列文件名保存在%windir%\temp目录下： ~DEB93D.tmp

~8C5FF6C.tmp

~DF05AC8.tmp

~DFD85D3.tmp

~DFL*.tmp

~dra*.tmp

~fghz.tmp

~HLV*.tmp

~KWI988.tmp

~KWI989.tmp

~rei524.tmp

~rei525.tmp

~rf288.tmp

~rft374.tmp

~TFL848.tmp

~TFL849.tmp

~mso2a0.tmp

~mso2a1.tmp

~mso2a2.tmp

sstab*.dat 在%windir%\system32目录中可能还会有以下文件： Advpck.dat

ntaps.dat

Rpcnc.dat Also, in %windir%\: Ef_trace.log Flame使用不同的格式储存文件中的恒定数据。所有的数据使用多种运算法则和密钥进行加密。一些文件则是使用内嵌的SQLite3库创建的数据库。这些数据库包含的数据一方面来自数据窃取的过程，另一方面则来自其复制的过程。我们之后会发表更进一步的信息。 不同类型的Flame组件所使用的目录名会有些许不同，这取决于资源146中的安装和配置选项： C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr

C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix 这些路径可能包含以下文件： dstrlog.dat

lmcache.dat

mscrypt.dat (or wpgfilter.dat)

ntcache.dat

rccache.dat (or audfilter.dat)

ssitable (or audache)

secindex.dat

wavesup3.drv (a copy of the main module, mssecmgr.ocx, in the MSAudio directory) Flame还可以产生或下载有下列名称的文件： svchost1ex.mof

Svchostevt.mof

frog.bat

netcfgi.ocx

authpack.ocx

~a29.tmp

rdcvlt32.exe

to961.tmp

authcfg.dat

Wpab32.bat

ctrllist.dat

winrt32.ocx

winrt32.dll

scsec32.exe

grb9m2.bat

winconf32.ocx

watchxb.sys

sdclt32.exe

scaud32.exe

pcldrvx.ocx

mssvc32.ocx

mssui.drv

modevga.com

indsvc32.ocx

comspol32.ocx

comspol32.dll

browse32.ocx 因此，我们可以得出一个可以快速检测自己的系统是否已被Flame感染的方法。 1.查找文件~DEB93D.tmp。如果系统中存在这样的文件，那就意味着已被Flame感染。 2. 检测注册表键HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages。如果你找到了mssecmgr.ocx或者authpack.ocx，那么你的设备已经被Flame感染。 3.检查以下日志是否存在，如果存在则说明被感染： C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr

C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix 4.查找其它前面提到的文件名。这些文件名都十分特殊，并且是独一无二的，如果发现它们存在，则极有可能已经感染了Flame。