» »

Najden še en vladni trojanec, Gauss

Najden še en vladni trojanec, Gauss

Statistike okužb za DoQu, Flame in Gauss, na podlagi najdb z Kaspersky antivirusom.

vir: Wired News
Wired News - Kaspersky poroča o najdbi še enega vohunskega trojanca, ki bo bržkone plod dela ameriške in izraelske vlade, namenjen pa napadom na bližnjevzhodne tarče. "Gauss" je sprva deloval zgolj kot različica Flamea (s katerim tudi delita določene module), vendar so po natančnem pregledu ugotovili, da ima precej drugačne cilje: zanimajo ga gesla za spletno bančništvo, vključuje pa še neznani modul, ki je šifriran in to tako, da se lahko odklene zgolj na določenih strojnih konfiguracijah, zato preprosto ne vedo, kaj dela.

Oznako "Gauss" so pobrali iz imena enega od modulov; povezavo z Libanonom pa domnevajo iz simbolov za razhroščevanje (debug symbol), ki so jih avtorji, najbrž pomotoma, pustili v nekaterih različicah trojanca. Delovno ime tiste različice je bilo "gauss_white", pri čemer ima beseda za belo barvo v hebrejščini isti koren kot ime za državo Libanon.

Njihove lastne statistike kažejo na okoli 2500 okužb, od tega čez 1600 v omenjeni državi. Iz tega ugibajo, da je skupno število okuženih računalnikov v več deset tisočih. Večina poganja Windows 7, okužijo pa se predvsem preko USB ključkov in zdaj že pokrpane napake .lnk. Trojanec najprej poskenira računalnik in omrežno okolje, se naseli v brskalnik, nato pa zapiše nazaj v skriti sektor USB ključka. Kontrolnim (C&C) strežnikom se javi šele ob naslednji uporabi ključka, po zaključku dela (skeniranju 30 različnih računalnikov) pa se tudi sam izbriše.

Kot rečeno, je eden od Gaussovih modulov namenjen kraji gesel za spletno bančništvo, še eden pa lovi piškotke in gesla e-poštnih, družbenih in IM storitev. To je nekoliko nenavadno za vladno sponzorirane viruse, ki jih denar na teh računih naj ne bi pretirano zanimal. Kaspersky špekulira, da jih morda zanimajo podatki o specifičnih osebah ali pa možnost ohromitve teh oseb z izpraznitvijo njihovih računov. Največja neznanka seveda ostaja šifrirani modul, ki svoj dešifrirni ključ sestavi iz določenih sistemskih parametrov, zato se na večini sistemov ne uspe odkleniti. Ugibajo, da zato, da bi pravi namen trojanca ostal skrit dlje časa, ter da otežijo izdelavo klonov in njihovo rabo zoper lastne države. Kaspersky še ni uspel najti ustrezne konfiguracije, vendar se nadeja, da jim bo slej ko prej uspelo, sploh ob pomoči širše protivirusne in hekerske skupnosti.

Softverska vojna je torej v polnem teku.

12 komentarjev

MrStein ::

Ne glejte kaj počnemo z malware!
Glejte kaj Irak počne s svojim kemič... errr, Iran s svojim jedrskim orožjem!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Priporočam branje tegale: http://www.wired.com/dangerroom/2012/07...

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare... Vprašanje je, kakšna bi bila reakcija, če bi bile vloge obrnjene.
sudo poweroff

PaX_MaN ::

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare...


"Uničuje cyber warfare"? Cool story bro:

Langner speculated that the infection may have spread from USB drives belonging to Russian contractors since the Iranian targets were not accessible via the internet.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

]Fusion[ ::

Kot v kakem filmu... kriptiranje na določeno konfiguracijo sistema. Nice stuff. :)
"I am not an animal! I am a human being! I... am... a man!" - John Merrick

poweroff ::

Jah, je pač CIA podkupila par Rusov.

Vprašanje je kakšen malware ima FSB. Obstaja teorija, da je velik del kiberkriminalcev iz V. Evrope izšel iz vrst KGB...
sudo poweroff

PaX_MaN ::

Jah, je pač CIA podkupila par Rusov.

A ne, jih je kr Grenada.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

zmaugy ::

poweroff je izjavil:

Priporočam branje tegale: http://www.wired.com/dangerroom/2012/07...l/

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare... Vprašanje je, kakšna bi bila reakcija, če bi bile vloge obrnjene.


Hvala za tole. Čez eno leto ne bom več obnovil licence za KIS.

MrStein ::

Ker so najboljši?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

zmaugy ::

Ker so odprto in odkrito zlizani s psihopatom Putinom.

Zgodovina sprememb…

  • spremenilo: zmaugy ()

poweroff ::

Če bib ili pa z ameriškimi tajnimi službami, bi bilo pa OK?

BTW, Kaspersky je objavil tudi odgovor: http://eugene.kaspersky.com/2012/07/25/...

Avtor članka pa še svoj odgovor na odgovor Kasperskega: http://www.wired.com/dangerroom/2012/07...
sudo poweroff

Jst ::

Ko si izbereš AV - bolje rečeno Anti Malware program - se nezavedno odločiš, koga podpiraš: Američane, Fince, Čehe, Ruse, Kitajce,...


---

Sem prebral Wired, Kasperskyjev odgovor in še reply na Kasperskyjev odgovor. Mislim, da je resnica takšna, da vse "Security" firme, kar lepo sodelujejo z oblastjo, pa ni važno, katera oblast to je. Le zakaj bi se sami streljali v nogo?

Glede Kaspersega: potem ko so mu ugrabili sina, je začel z ekstremnimi izjavami o nadzorovanju interneta, cenzuri,... Ampak po drugi strani, poglejte kaj se dogaja v US kongresu. Enaka retorika. Le kdo je bolj evil?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Double_J ::

Dve šivanki...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odprtokodna pametna kartica - Nitrokey

Oddelek: Informacijska varnost
72012 (1125) matobeli
»

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Oddelek: Novice / Varnost
84093 (2303) Fave
»

SpyEye e-bančni trojanec na voljo za Androida

Oddelek: Novice / Varnost
3210841 (9349) SkipEU
»

Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )

Oddelek: Novice / Varnost
7112074 (8565) CaqKa

Več podobnih tem