با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

بدافزار Flame

پس از بررسی‌های انجام شده توسط کارشناسان امنیتی شرکت Symantec، احتمالاً هدف عمده‌ی بدافزار W32.Flamer در یکی از کشورهای اروپای شرقی و خاورمیانه قرار داشته است (‌هدف اصلی این حملات هنوز به درستی مشخص نیست). براساس شواهد موجود، از این بدافزار جهت مقاصد متفاوتی استفاده شده است: از فعالیت‌های فردی کارمندان یک شرکت گرفته تا فعالیت اصلی خود شرکت.

بر اساس بررسی‌های انجام شده بر روی گزارش‌های مختلف آلودگی (کامپوننت‌های اصلی و فایل‌های تنظیماتی این بدافزار)، پژوهشگران دریافته‌اند که آغاز آن در ماه سپتامبر سال 2010 بوده و فعالیت‌ها و اهداف این بدافزار در طول زمان تغییر کرده است.

از نظر تعداد کامپیوترهای آلوده شده به این بدافزار، اهداف اصلی آن در کشورهای فلسطین، مجارستان، ایران و لبنان قرار داشته‌اند. همچنین گزارش‌هایی دال بر وقوع تعدادی حمله به استرالیا، روسیه، هنگ‌کنگ و امارات متحده عربی وجود دارد که حاکی از سوء استفاده موقت از این اهداف برای آلوده سازی اهداف اصلی می‌باشد (به‌طور مثال، آلودگی توسط یک لپ‌تاپ از جایی به جای دیگر برده شود). علاوه بر آن بسیاری از سیستم‌های آلوده شده، کامپیوترهای شخصی بوده که از اینترنت‌های خانگی استفاده می‌کردند.

جزئیات بدافزار:

تا کنون چندین کانپوننت از این بدافزار تجزیه و تحلیل شده که بسیار ماهرانه و طوری نوشته شده‌اند که به نظر مخرب نیامده و حاوی کد مشکوک هم نیستند و این امر روند تحلیل را دشوار کرده است. کارایی کلی این بدافزار، دزدی اسناد، عکس گرفتن از صفحه‌ی کامپیوتر کاربر، گسترش آلودگی از طریق حافظه‌های فلش و قابل حمل و غیر فعال کردن نرم‌افزارهای امنیتی می‌باشد. همچنین در موارد خاص قابلیت نفوذ و تغییر در چندین آسیب‌پذیری اصلاح شده‌ی Windows برای گسترش در سطح شبکه را دارد.

این بدافزار با استفاده از کلید 128 بیتی الگوریتم RC4 اطلاعات دزدیده شده را رمزنگاری کرده و با تغییر در مهر زمان فایل‌های خود مانند فایل kernel32.dll موجب گمراه کردن کاربر شده و روشی پیچیده برای تزریق خود به winlogon.exe یا نرم‌افزارهای امنیتی یا پردازه‌های دیگر دارد. همچنین فایل سیستمی shell32.dll را با یک فایل آلوده شده جایگزین می‌کند. فایل حجیم mssecmgr.ocx دارای اجزای زیر می‌باشد:

این فایل شامل یک مفسر LUA، کدهای SSH و توابع SQL می‌باشد. قرار دادن مفسر زبان برنامه‌نویسی LUA این کامپوننت را بسیار انعطاف‌پذیر کرده‌است به‌طوریکه حمله‌کنندگان می‌توانند دستورات و توابع خود را برای ایجاد تغییر در بدافزار خیلی سریع به آن ارسال کنند. کامپوننت دیگر یعنی فایل ~DEB93D.tmp قابلیت بسیار جالبی دارد. این همان ویروس wipe بوده که پس از سرقت اطلاعات کل هارد دیسک سیستم را پاک می‌کند.

فایل nteps32.ocx مسئولیت عکس گرفتن از کامپیوتر کاربر در بازه‌های زمانی مشخص و رمزنگاری آن را بر عهده دارد.
فایل msglu32.sys حاوی کد جهت بازکردن و دزدیدن اطلاعات از انواع اسناد، تصاویر، تصاویر حاوی اطلاعات GPS، فایل‌های ارائه مطالب PowerPoint، فایل پروژه‌‌ها و طراحی‌های صنعتی می‌باشد. همچنین دارای ماژول‌هایی با عملکرد SQL و پیام‌های ارجاعی به رشته‌ی "JIMMY" با مضامین مختلف می‌باشد که احتمالاً نام مستعار این ماژول است.
در تحلیل‌‌های انجام شده ارجاعات متعددی به رشته‌ی "FLAME" دیده شده که ممکن است ارجاع به حملات خاص و یا مشخص کننده‌ی نام پروژه باشد.

با توجه به طبیعت ماژولار این بدافزار می‌توان نتیجه‌گیری کرد که توسعه‌دهندگان آن قصد دارند این پروژه را زمان زیادی به حال اجرا در آورده و نسخه‌های مختلفی از آن را اجرایی کنند. با توجه به معماری استفاده شده در طراحی W32.Flamer، توسعه‌دهندگان می‌توانند بدون تغییر کلی در دیگر ماژول‌ها و یا کل ساختار، کارایی و رفتار یک کامپوننت را تغییر دهند. این تغییرات می‌توانند به عنوان بسته‌ی به روز رسانی و یا وصله‌ی اصلاحی، نرم‌افزارهای امنیتی را به اشتباه بیندازند.

منبع:

http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east

ترسیم نمایی از W32.Flamer
تعداد کامپوننت‌های W32.Flamerدقیقا مشخص نیست، تنها می‌توان گفت شامل کاموننت‌‌های زیاد به همراه سرویس دهنده‌های Web، سرویس دهنده‌‌ی پایگاه داده و ارتباطات امن در پوسته می‌باشد. به علاوه دارای مفسری است که به حمله‌کنندگان امکان به روز رسانی کارایی کامپوننت‌های بدافزار به وسیله‌ی کدهای متفاوت را می‌دهد که این کدها به صورت "app"هایی مجزا در "app store" قرار داده شده و بدافزار در صورت نیاز می‌تواند با اتصال به سرورهای این appها، امکانات مورد نیاز خود را دریافت کرده و به فعالیت مختلف با توجه به محیطی که در آن قرار دارد بپردازد.
برای بررسی نحوه‌ی کارکرد این کامپوننت‌ها با یکدیگر، بهترین مکان فایل mssecmgr.ocx می‌باشد که اولین فایل اجرایی در سیستم‌های آلوده بوده و حاوی توابع و قسمت‌های زیادی می‌باشد. در شکل زیر برخی از توابع و قسمت‌های این فایل نمایش داده شده‌اند.
بیشتر اجزاء و قطعه کدها در این فایل به صورت رمز شده جاسازی شده‌اند. این فایل فهرستی از توابع و DLL های مختلف دارد که در صورت لزوم به آن‌ها ارجاع می‌کند. این فهرست شامل جدولی از فایل‌های advnetcfg.ocx, nteps32.ocx, boot32drv.sys, msglu32.ocx, soapr32.ocs, jimmy.dll, 00006411.dll و غیره می‌باشد.
خارج از این منبع، کدهایی برای پیاده‌سازی یک سرویس‌دهنده‌ی HTTP، SOCKS Proxy، SSH، پایگاه داده‌ی SQL و البته یک مفسر Lua قرار دارد.

پس از اجرای فایل msseccmgr.ocx، توسط یک سری حقه‌های پیچیده خودش را درون پردازه‌های در حال اجرا جاسازی می‌کند.

فایل nteps32.ocx درون فایل shell32.dll تزریق شده، پس از آن app اصلی کد Lua اجرا می‌شود. سپس این کد با اتصال به منبع app ها در اینترنت به دنبال آخرین نسخه‌ی آن‌ها گشته و حتی می‌تواند به آن منبع فایل ارسال کند. سپس چندین فایل پایگاه داده برای ذخیره سازی اطلاعات دزدیده شده ایجاد کرده و اقدام به اجرای دیگر appها می‌کند.

در شکل زیر بخش‌‌های کد Lua نمایش داده شده است.

در قسمت زیر، کدهای کتابخانه‌ای مانند دسترسی به پایگاه داده و دسترسی به شبکه برای ارائه به سایر کدها وجود دارد. در قسمت بالا کدهایی برای اعمال خرابکارانه و جاسوسی وجود دارد.
این کدهای سطح بالا را می‌توان به چند قسمت طبقه بندی کرد، مانند:
· ATTACKOP: حمله به سیستم دیگر و انتقال به آن با استفاده از تکنیک‌های مختلف از جمله کدهای مخرب (Exploit Codes)
· CASafet: بررسی نرم‌افزار ضد ویروس(AV) نصب شده بر روی سیستم
· CRUISE: سرقت اعتبارنامه‌‌ها
· Euphoria: گسترش توسط آسیب‌پذیری LNK و نقطه‌ی تلاقی پوشه‌ها
برخی از این کدها احتیاج به اجرای بخش‌های دیگر دارند (مانند ATTACKOP که می‌تواند فایل soapr32.ocx را برای دزدیدن اطلاعات گسترده‌ای راجع به شبکه در کامپیوتر محلی صدا زده و آن‌ها را در یک فایل رمز شده‌ی RC4 ذخیره کند).
کد ATTACKOP_JIMMY نیز برای انجام اعمال خود ممکن است یکی از فایل‌های اجرایی ssvc32.ocx، msglu32.ocx یا jimmy.dll را فرا بخواند.
منبع:
استفاده از Bluetooth در Flamer
W32.Flamerتنها بدافزار بر پایه‌ی Windows می‌باشد که از Bluetooth استفاده می‌کند. به این دلیل نه تنها استثنایی‌ست، بلکه یک ابزار جاسوسی و جمع‌آوری اطلاعات پیشرفته محسوب می‌شود. آزمایشگاه‌های CrySyS در گزارش قبلی خود در مورد امکان استفاده‌ی این بد افزار از Bluetooth مطالبی را بیان کرده است. ولی معنی استفاده‌ی یک حمله‌کننده از Bluetooth چیست؟
عملکرد Bluetooth در Flamer درون ماژولی به نام "BeetleJuice" تعبیه شده که براساس مقادیر تنظیماتی توسط حمله‌کننده برای اجرای دو عمل اصلی زیر اجرا می‌شود:
1. اطلاعات شناسایی کلیه‌ی وسایل Bluetooth در محدوده‌ی دسترسی دستگاه آلوده پویش شده و در دستگاه برای ارسال به حمله‌کننده جمع‌آوری می‌شود.
2. تبدیل سیستم آلوده به یک منبع ارسال کننده‌ی Blutooth به طوری که این سیستم برای سایر دستگاه‌ها قابل یافتن شده و اطلاعات آن به عنوان توضیح در مورد دستگاه به صورت رمزنگاری شده‌ی زیر نمایش داده می‌شود.
با توجه به مطالب فوق چندین احتمال برای استفاده از چنین امکانی برای حمله‌کننده وجود دارد:

سناریو شماره 1- شناسایی شبکه‌های اجتماعی قربانی

با استفاده از پویش دائمی دستگاه‌های اطراف و جمع‌آوری اطلاعات در مورد آن‌ها این احتمال وجود دارد که حمله‌کننده‌ها به دنبال شناسایی افراد مرتبط با قربانی هستند. دستگاه‌هایی که مورد پیمایش قرار می‌گیرند ممکن است لپتاپ و یا تلفن‌های همراه باشد که در اطراف هر کامپیوتر قرار دارند. اگر هم سیستم قربانی خود یک کامپیوتر قابل حمل باشد، حمله‌کنندگان می‌توانند اطلاعاتی در مورد شبکه‌های اجتماعی ویا ارتباطات کاری که فرد قربانی هر روز با آنها سر و کار دارد، به‌دست آورند.

سناریو شماره 2 – شناسایی محل‌های فیزیکی قربانی

حمله‌کنندگان می‌توانند بر اساس شدت و ضعف امواج رادیویی هنگام نزدیک یا دور شدن از یک دستگاه تولیدکننده‌ی این امواج به محل فیزیکی دستگاه قربانی پی ببرند.
یک احتمال دیگر از انجام این عمل ممکن است شناسایی قربانی از طریق تلفن همراه او باشد. ماژول Beetlejuice لیستی از شناسه‌های تلفن همراه و دستگاه‌های اطراف قربانی را جمع‌آوری کرده و برای حمله‌کنندگان ارسال می‌کند. با توجه به نصب بودن دستگاه‌های نظارتی در فرودگاه‌‌ها، ایستگاه‌ها و سایر مکان‌‌های عمومی، حمله‌کنندگان می‌توانند حتی از فاصله‌ی بیشتر از 1 مایل، قربانی را از طریق تلفن همراهش ردیابی کنند.

سناریو شماره 3 – جمع‌آوری اطلاعات حساس

با توجه به گفته‌های قبلی، Flamer از طریق کدهای Lua می‌تواند appهای جدید و همچنین قابلیت‌های جدید را به خود اضافه کند، در نتیجه ممکن است با توجه به اطلاعات جمع‌آوری شده، در آینده حملات زیر صورت گیرد:
· دزدیدن اطلاعات تماس‌ها، پیامک‌ها، تصاویر و ویدئوها از تلفن‌های همراه
· استفاده از دستگاه برای استراق سمع. با اتصال دستگاه قربانی به وسایل اطراف می‌توان یک ارتباط صوتی برقرار کرد، مثلا هنگامی که دستگاه درون یک جلسه قرار گرفت، آنرا مجبور به برقراری تماس کرده و به مکالمات گوش کرد.
· عبور دادن اطلاعات دزدیده شده از فیلترینگ دستگاه‌های اطراف توسط کنترل کردن firewall از طریق قابلیت Bluetooth تا شعاع بیشتر از یک مایلی.

هنوز قابلیت‌های ناشناخته‌ی بسیاری در مورد Flamer وجود دارد. ممکن است یکی از این قابلیت‌ها، انتقال از طریق Bluetooth باشد. این احتمال نیز وجود دارد که در صورتی که یک کامپیوتر به علت اتصال به یک شبکه‌ی امن امکان ارسال اطلاعات سرقت شده به حمله‌کنندگان را نداشته باشد، این اطلاعات از طریق Bluetooth به کامپیوتر دیگری برای ارسال فرستاده شوند.

منبع:

مکانیزم انتقال بدافزار Flamer
بد افزار Flamer توانایی انتقال از یک کامپیوتر به دیگری را دارد ولی بطور خودکار گسترش نمی‌یابد، بلکه منتظر دستور از طرف حمله‌کنندگان می‌ماند. Flamer از این روش‌های می‌تواند گسترش یابد:
· از طریق اشتراک‌گزاری‌های شبکه با استفاده از گواهی‌های سرقت شده از جمله مدیر Domain (Domain Administrator)
· از طریق آسیب‌پذیری سرویس Spooler چاپ در Windows (CVE-2010-2729) که قبلاً توسط Stuxnet مورد استفاده قرار می‌گرفت.
· از طریق رسانه‌های قابل حمل با استفاده از فایل اجرای خودکار autorun.inf جعلی که قبلا توسط Stuxnet مورد استفاده قرار می‌گرفت.
· از طریق حافظه‌های قابل حمل با استفاده از یک پوشه‌ی خاص که فایل‌ها را مخفی کرده و می‌تواند به محض باز کردن درایو USB به‌طور خودکار آن‌ها را اجرا کند. این کار با استفاده از آسیب‌پذیری اجرای کد خودکار در فایل‌های میانبر در Windows صورت گرفته که قبلا توسط Stuxnet مورد استفاده قرار می‌گرفت.
· بیشتر این روش‌ها شناخته شده هستند ولی روش آخر تاکنون دیده نشده و از آنجایی که از نقاط اتصال استفاده می‌کند، بسیار جالب به نظر می‌رسد.
نقاط اتصال (Junction points) یک قابلیت در Windows بوده که به کاربران اجازه‌ی ایجاد یک جانشین برای پوشه را می‌دهند. به‌طور مثال مسیر طولانی پوشه‌ی C:\My\Very\Long\Directory\Path می‌تواند به صورت C:\MyJunction جایگزین شود. نقطه‌ی اتصال نیز به خودی خود تنها یک پوشه با مشخصه‌های خاص است.
Flamer از نقاط اتصال برای مخفی‌سازی و اجرای خودکار فایل‌هایش بهره می‌گیرد. این بدافزار یک پوشه‌ی معمولی در حافظه‌ی قابل انتقال (مثلا فلش دیسک) با نام متغیر ایجاد می‌کند. ما در این مثال از نام 'MyDocs' استفاده می‌کنیم. Flamer درون پوشه این سه فایل را ایجاد می‌کند:
· فایل اصلی خودش (mssecmgr.ocx)
· desktop.ini
· target.lnk

فایل Desktop.ini یک فایل تنظیماتی خاص برای پوشه و قابل فهم برای Windows بوده که به کاربر امکان سفارشی سازی مشخصات و رفتار پوشه را می‌دهد. Flamer یک بخش ShellClassInfo به فایل تنظیماتی desktop.ini اضافه کرده و باعث می‌شود که به صورت نقطه‌ی اتصال رفتار کند. به‌طور معمول نقطه‌ی اتصال تنها می‌تواند جانشین برای پوشه باشد (نه جانشین یک فایل اجرایی) چون ممکن است بتوان با حقه، کاربر را ترغیب به اجرای یک فایل اجرایی مخرب کند.
بدافزار Flamer از یک حقه‌ی خاص برای سوء استفاده از این رفتار استفاده می‌کند. سه مورد CLSID شامل یک CLSID خاص به ShellClassInfo اضافه می‌شود
برچسب‌ CLSID موجب می‌شود که پوشه‌ی 'MyDocs' به یک نقطه‌ی اتصال تبدیل شده ولی به جای هدایت کاربر به یک پوشه‌ی دیگر، به نقطه‌ی اتصال فایل target.lnk که درون پوشه است تبدیل می‌شود. اکنون دیگر باز کردن پوشه‌ی 'MyDocs' و دیدن محتویات داخل آن شامل فایل‌های Desktop.ini و فایل اصلی بدافزار یعنی mssecmgr.ocx نیز توسط Explorer برای کاربر ممکن نیست. در نتیجه این بدافزار توسط نقطه‌ی اتصال، خود را کاملا مخفی کرده که البته این امر یکی از هداف استفاده از نقطه‌ی اتصال می‌باشد. هدف بعدی اجرای خودکار این بدافزار است و این کار نیز با سوء استفاده از همان فایل LNK و آسیب‌پذیری اجرای خودکار فایل‌های میانبر (CVE-2010-2568) عملی می‌شود.
به محض نمایش محتویات حافظه‌ی قابل حمل در Windows، نقطه‌ی اتصال به target.lnk اشاره کرده و CPlApplet از فایل mssecmgr.ocx را اجرا می‌کند و با تصرف کردن سیستم به بدافزار اجازه می‌دهد که کامپیوتر دیگری را هم آلوده کند.
1. زمانی که حافظه‌ی آلوده وارد کامپیوتر شده و کاربر در حال مشاهده‌ی محتویات آن می‌باشد.
2. Windows به طور خودکار پوشه را باز کرده و محتوای آن را تفسیر می‌کند.
3. Flamer توسط فایل LNK و آسیب‌پذیری فایل‌های میانبر اجرا می‌شود.
نام پوشه‌ی حاوی بدافزار قابل تنظیم بوده و تاکنون نام‌های ' .MSBTS ' یا ' ~WRM3F0 ' برای آن مشاهده شده است، همچنین نام فایل خود بدافزار نیز به همین صورت قابل تنظیم بوده که تاکنون با نام‌های LSS.OCX، SYSTEM32.DATیا NTVOLUME.DAT مشاهده شده است. همانند Stuxnet این بدافزار از تکنیک autorun.inf نیز برای انتقال استفاده می‌کند. در صورت اصلاح شدن بعضی از آسیب‌پذیری‌ها در Window، همانند Stuxnet امکان تغییر تکنیک‌های انتقال نسخه‌های آینده‌ی این بدافزار وجود دارد.

منبع:

سوء استفاده از گواهی‌های دیجیتالی شرکت Microsoft
شرکت Microsoft در بیانیه‌ی امنیتی شماره 2718704 که در ارتباط با Flamer منتشر کرده بیان نموده که این بدافزار از یک گواهی صادر شده این شرکت برای امضاء و اعتباردهی به کامپوننت‌های خود استفاده می‌کند. شرکت Microsoft برای Microsoft Terminal Services اقدام به انتشار گواهی‌های معتبری کرده که به مدیران شبکه امکان مدیریت و دسترسی کامل به سیستم‌ها را از راه دور می‌دهد. بدافزار Flamer از این گواهی‌‌ها سوء استفاده کرده به طوری که به نظر برسد کد این بدافزار توسط شرکت Microsoft تولید شده است.
به مدیران شبکه توصیه شده است که بیانیه‌ی امنیتی شماره 278704 را مطالعه کرده و سیستم‌های خود را برای نصب بسته‌ی ترمیمی ارائه شده توسط شرکت Microsoft جهت رفع این مشکل، به روز رسانی کنند.
گواهی جعلی بدافزار Flamer
منبع:
شناسایی عامل تهدید هدفمند سایبری
در پی بررسی­های تخصصی انجام شده طی چند ماه گذشته توسط كارشناسان مركز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاكس نت و دیوكیو، مركز ماهر در تاریخ 07/03/91 اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده نموده است. آنچه در ادامه می‌آید، گزارش منتشر شده توسط مرکز ماهر می‌باشد:
این حمله توسط بدافزاری كه از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می‌گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت‌های مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی‌ویروس در دسترس مورد شناسایی قرار نمی‌گیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمان‌ها و شركت‌های متقاضی قرار خواهد گرفت (لینک دریافت ابزار تشخیص و پاكسازی بدافزار Flame).
شماری از قابلیت­های مهم این بدافزار عبارتند از:
  • انتشار از طریق حافظه‌های فلش
  • انتشار در سطح شبكه
  • پویش شبكه و جمع‌آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم­های مختلف
  • پویش دیسك كامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
  • تهیه تصویر از فعالیت­های خاص كاربر سیستم آلوده با ذخیره‌سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
  • ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
  • ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
  • دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
  • برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
  • شناسایی و از كار انداختن بیش از 100 نرم‌افزار آنتی‌ویروس، ضدبدافزار، فایروال و ...
  • قابلیت آلوده‌سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
  • قابلیت آلوده‌سازی سیستم­های یك شبكه در مقیاس بالا
به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاكس‌نت و دیوكیو دانست.
نشانه‌های یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار می­باشد.

با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه می‌گردد. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس می­باشد و از این پس اجزای این بدافزار می­تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.

علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار
وجود هریك از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:
ردیف
نوع علائم
آدرس
1
وجود كلید رجیستری
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx
2
فایل­های اجرایی و تنظیمات آلودگی
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log
در پی انتشار خبر شناسایی بدافزار Flame توسط آزمایشگاه تحقیقاتی مركز ماهر، شركت­های امنیتی سایمانتك، سوفوس، مك آفی، F-Secure و همچنین آزمایشگاه رمزنگاری دانشگاه فناوری و اقتصاد بوداپست نیز اقدام به انتشار اطلاعاتی در این مورد كرده و به خبر مركز ماهر ارجاع داده‌اند.
منبع :