آیا سیستم من آلوده به Flame است؟

Flame یک جعبه ابزار پیشرفته حمله است. اون یک backdoor، یک تروجان و رفتاری شبیه به کرم دارد که اجازه میدهد تا در شبکه محلی تکثیر شده و اگر برایش تعریف شده باشد، به removable media هم وارد شود.Flame که اطلاعات حساس را در سیستم پاک میکند با نامWorm.Win32.Flame. دیده شده است.
به گزارش پایگاه خبری فناوری اطلاعات ایران از Securelist، زمانی که یک سیستم آلوده میشود، Flameمجموعه ای از عملیات ها را که شامل sniff کردن ترافیک شبکه، گرفتن screenshots ، ضبط مکالمات تلفنی، مختل کردن کیبورد و … را انجام میدهد. همه این اطلاعات در لینکی که Flame برای کنترل به سمت سرورهایش میفرستد وجود دارد. بعد از این، اپراتور میتواند تصمیم بگیرد که ماژول های جدیدی بفرستد یا نه؟ در کل حدود ۲۰ ماژول تا الان از Flame پیدا شده است.

نحوه پیشرفت Flame چگونه است؟
در ابتدا Flame یک بسته بزرگ ماژول در حدود ۲۰MB بوده، به همین دلیل تجزیه و تحلیل آن بسیار دشوار است. علت بزرگ بودن Flame داشتن کتابخانه های مختلف مثل مدل های فشرده سازی (zlib, libbz2, ppmd) و بانک های اطلاعاتی (sqlite3) که با یکدیگر درون ماشین مجازی Lua کار میکنند.
برآورد ما از توسعه در LUA بیش از ۳۰۰۰ خط کد است که برای این حجم کد به طور متوسط باید در حدود یک ماه، برای ایجاد کد و اشکال زدایی آن وقت گذارده شود.

چک کردن دستی سیستم برای پیدا کردن Flame
Kaspersky یک روش برای چک کردن سیستم آلوده به Flame معرفی کرده:
۱٫ فایل ~DEB93D.tmp را جستجو کنید. اگر پیدا شد، به این معنی است که در شرف آلوده شدن یا آلوده به Flame هستید.
۲٫ این مسیر را چک کنید:
HKLM_SYSTEM\CurrentControlSet\Control\Lsa\ Authentication Packages
اگر mssecmgr.ocx یا authpack.ocx پیدا شد،سیستم شما آلوده است.
۳٫ این مسیرهارا چک کنید
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
اگر وجود داشت، شما آلوده اید.
۴٫ کلمات زیر را جستجو کنید. هر کدام از اینها خاص هستند. اگر در سیستم شما پیدا شدند، شما مطمئنا آلوده اید.
mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys
~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat
dstrlog.dat
lmcache.dat
mscrypt.dat
wpgfilter.dat
ntcache.dat
rccache.dat
audfilter.dat
ssitable
audache
secindex.dat
wavesup3.drv
svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx


لیست اخبار