诸城信息港城市论坛

 找回密码
 注册

查看: 1122|回复: 0

卡巴斯基公布四大方法迅速检测并查杀Flame

[复制链接]
     

1279

主题

5103

帖子

4万

积分

贵宾

与人为善

Rank: 4

积分
44416

注册纪念日论坛贡献奖新年送“福”调侃乱语2011苹安果马年大吉勋章年味勋章喜气羊羊

发表于 2012-6-1 09:22:45 | 显示全部楼层 |阅读模式 IP:山东潍坊
  超级网络武器Flame(火焰)的出现,让很多用户感觉措手不及,其精准的攻击能力和未知的创建来源都使人不寒而栗。作为首个发现Flame的安全厂商,卡巴斯基实验室目前已经接到相关请求,应邀发布了一些针对性的检测方法并在其产品中更新了对该恶意程序的查杀模块。

  据了解,Flame的主要模块是一个DLL文件,称为mssecmgr.ocx。卡巴斯基实验室安全专家已经发现了这个模块的两个变种。大部分被感染的机器所感染的是体积较大的版本(6MB),其中包含了所需执行和部署的额外模块。另外一个较小的版本为900kb,不包括额外模块。安装之后,小版本的模块会连接指令与控制(C&C)服务器,并从那儿尝试下载和安装余下的组件。目前,卡巴斯基实验室安全专家正在紧张的跟踪和分析该恶意程序,后续将继续公布相关分析结果。

  如果想要快速检测自己的系统是否已被Flame感染,卡巴斯基实验室安全专家提供了四大方法:

  1、查找文件~DEB93D.tmp。如果系统中存在这样的文件,那就意味着已被Flame感染。

  2、检测注册表键HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages。如果你找到了mssecmgr.ocx或者authpack.ocx,那么你的设备已经被Flame感染。

  3、检查以下日志是否存在,如果存在则说明被感染:

  C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr

  C:\Program Files\Common Files\Microsoft Shared\MSAudio

  C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

  C:\Program Files\Common Files\Microsoft Shared\MSAPackages

  C:\Program Files\Common Files\Microsoft Shared\MSSndMix

  4、查找其它前面提到的文件名。这些文件名都十分特殊,并且是独一无二的,如果发现它们存在,则极有可能已经感染了Flame。

    目前,卡巴斯基实验室已经成功的检测并删除了所有可能的Flame变种及额外的组件,卡巴斯基安全部队2012和卡巴斯基开放空间安全解决方案也均可对该恶意程序进行检测查杀,完全保护您的电脑安全。[硅谷动力 ]
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关于本站 广告服务 联系我们 网站导航 诚聘英才 免责声明 帮助中心
Copyright © 2005 诸城信息港 版权所有 | 增值电信业务经营许可证:鲁B2-20051026号 | 备案/许可证号:鲁ICP备12015127号-7 | 电子公告许可:电信业务审批[2008]字第262号函
投稿信箱:webmaster@zcinfo.net   总机:0536-6017778    新闻、业务热线:0536-2165588   法律顾问:山东东武律师事务所 刘清波、秦丽律师
快速回复 返回顶部 返回列表