卡巴斯基公布四大方法检测并查杀Flame
安全频道 12年06月01日 00:58 【来稿】 作者:卡巴斯基 责任编辑:黄辉
超级网络武器Flame(火焰)的出现,让很多用户感觉措手不及,其精准的攻击能力和未知的创建来源都使人不寒而栗。作为首个发现Flame的安全厂商,卡巴斯基实验室目前已经接到相关请求,应邀发布了一些针对性的检测方法并在其产品中更新了对该恶意程序的查杀模块。
据了解,Flame的主要模块是一个DLL文件,称为mssecmgr.ocx。卡巴斯基实验室安全专家已经发现了这个模块的两个变种。大部分被感染的机器所感染的是体积较大的版本(6MB),其中包含了所需执行和部署的额外模块。另外一个较小的版本为900kb,不包括额外模块。安装之后,小版本的模块会连接指令与控制(C&C)服务器,并从那儿尝试下载和安装余下的组件。目前,卡巴斯基实验室安全专家正在紧张的跟踪和分析该恶意程序,后续将继续公布相关分析结果。
如果想要快速检测自己的系统是否已被Flame感染,卡巴斯基实验室安全专家提供了四大方法:
1、查找文件~DEB93D.tmp。如果系统中存在这样的文件,那就意味着已被Flame感染。
2、检测注册表键HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages。如果你找到了mssecmgr.ocx或者authpack.ocx,那么你的设备已经被Flame感染。
3、检查以下日志是否存在,如果存在则说明被感染:
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
4、查找其它前面提到的文件名。这些文件名都十分特殊,并且是独一无二的,如果发现它们存在,则极有可能已经感染了Flame。
卡巴斯基安全部队2012查杀flame恶意程序(单机版)
卡巴斯基开放空间安全解决方案查杀flame恶意程序(企业版)
目前,卡巴斯基实验室已经成功的检测并删除了所有可能的Flame变种及额外的组件,卡巴斯基安全部队2012和卡巴斯基开放空间安全解决方案也均可对该恶意程序进行检测查杀,完全保护您的电脑安全。
腾讯微博
新浪微博
