» »

Najden še en vladni trojanec, Gauss

Najden še en vladni trojanec, Gauss

Statistike okužb za DoQu, Flame in Gauss, na podlagi najdb z Kaspersky antivirusom.

vir: Wired News
Wired News - Kaspersky poroča o najdbi še enega vohunskega trojanca, ki bo bržkone plod dela ameriške in izraelske vlade, namenjen pa napadom na bližnjevzhodne tarče. "Gauss" je sprva deloval zgolj kot različica Flamea (s katerim tudi delita določene module), vendar so po natančnem pregledu ugotovili, da ima precej drugačne cilje: zanimajo ga gesla za spletno bančništvo, vključuje pa še neznani modul, ki je šifriran in to tako, da se lahko odklene zgolj na določenih strojnih konfiguracijah, zato preprosto ne vedo, kaj dela.

Oznako "Gauss" so pobrali iz imena enega od modulov; povezavo z Libanonom pa domnevajo iz simbolov za razhroščevanje (debug symbol), ki so jih avtorji, najbrž pomotoma, pustili v nekaterih različicah trojanca. Delovno ime tiste različice je bilo "gauss_white", pri čemer ima beseda za belo barvo v hebrejščini isti koren kot ime za državo Libanon.

Njihove lastne statistike kažejo na okoli 2500 okužb, od tega čez 1600 v omenjeni državi. Iz tega ugibajo, da je skupno število okuženih računalnikov v več deset tisočih. Večina poganja Windows 7, okužijo pa se predvsem preko USB ključkov in zdaj že pokrpane napake .lnk. Trojanec najprej poskenira računalnik in omrežno okolje, se naseli v brskalnik, nato pa zapiše nazaj v skriti sektor USB ključka. Kontrolnim (C&C) strežnikom se javi šele ob naslednji uporabi ključka, po zaključku dela (skeniranju 30 različnih računalnikov) pa se tudi sam izbriše.

Kot rečeno, je eden od Gaussovih modulov namenjen kraji gesel za spletno bančništvo, še eden pa lovi piškotke in gesla e-poštnih, družbenih in IM storitev. To je nekoliko nenavadno za vladno sponzorirane viruse, ki jih denar na teh računih naj ne bi pretirano zanimal. Kaspersky špekulira, da jih morda zanimajo podatki o specifičnih osebah ali pa možnost ohromitve teh oseb z izpraznitvijo njihovih računov. Največja neznanka seveda ostaja šifrirani modul, ki svoj dešifrirni ključ sestavi iz določenih sistemskih parametrov, zato se na večini sistemov ne uspe odkleniti. Ugibajo, da zato, da bi pravi namen trojanca ostal skrit dlje časa, ter da otežijo izdelavo klonov in njihovo rabo zoper lastne države. Kaspersky še ni uspel najti ustrezne konfiguracije, vendar se nadeja, da jim bo slej ko prej uspelo, sploh ob pomoči širše protivirusne in hekerske skupnosti.

Softverska vojna je torej v polnem teku.

12 komentarjev

MrStein ::

Ne glejte kaj počnemo z malware!
Glejte kaj Irak počne s svojim kemič... errr, Iran s svojim jedrskim orožjem!
TeĹĄtiram Äće delaĹž - umlaut dela: ä ?

Matthai ::

Priporočam branje tegale: http://www.wired.com/dangerroom/2012/07...

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare... Vprašanje je, kakšna bi bila reakcija, če bi bile vloge obrnjene.
All those moments will be lost in time, like tears in rain...
Time to die.

PaX_MaN ::

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare...


"Uničuje cyber warfare"? Cool story bro:

Langner speculated that the infection may have spread from USB drives belonging to Russian contractors since the Iranian targets were not accessible via the internet.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

]Fusion[ ::

Kot v kakem filmu... kriptiranje na določeno konfiguracijo sistema. Nice stuff. :)
"I am not an animal! I am a human being! I... am... a man!" - John Merrick

Matthai ::

Jah, je pač CIA podkupila par Rusov.

Vprašanje je kakšen malware ima FSB. Obstaja teorija, da je velik del kiberkriminalcev iz V. Evrope izšel iz vrst KGB...
All those moments will be lost in time, like tears in rain...
Time to die.

PaX_MaN ::

Jah, je pač CIA podkupila par Rusov.

A ne, jih je kr Grenada.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

zmaugy ::

Matthai je izjavil:

Priporočam branje tegale: http://www.wired.com/dangerroom/2012/07...l/

Američani so seveda jezni, ker jim rusko podjetje, ki je povezano s FSB in putinovimi "siloviki" uničuje cyber warfare... Vprašanje je, kakšna bi bila reakcija, če bi bile vloge obrnjene.


Hvala za tole. Čez eno leto ne bom več obnovil licence za KIS.

MrStein ::

Ker so najboljši?
TeĹĄtiram Äće delaĹž - umlaut dela: ä ?

zmaugy ::

Ker so odprto in odkrito zlizani s psihopatom Putinom.

Zgodovina sprememb…

  • spremenilo: zmaugy ()

Matthai ::

Če bib ili pa z ameriškimi tajnimi službami, bi bilo pa OK?

BTW, Kaspersky je objavil tudi odgovor: http://eugene.kaspersky.com/2012/07/25/...

Avtor članka pa še svoj odgovor na odgovor Kasperskega: http://www.wired.com/dangerroom/2012/07...
All those moments will be lost in time, like tears in rain...
Time to die.

Jst ::

Ko si izbereš AV - bolje rečeno Anti Malware program - se nezavedno odločiš, koga podpiraš: Američane, Fince, Čehe, Ruse, Kitajce,...


---

Sem prebral Wired, Kasperskyjev odgovor in še reply na Kasperskyjev odgovor. Mislim, da je resnica takšna, da vse "Security" firme, kar lepo sodelujejo z oblastjo, pa ni važno, katera oblast to je. Le zakaj bi se sami streljali v nogo?

Glede Kaspersega: potem ko so mu ugrabili sina, je začel z ekstremnimi izjavami o nadzorovanju interneta, cenzuri,... Ampak po drugi strani, poglejte kaj se dogaja v US kongresu. Enaka retorika. Le kdo je bolj evil?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Double_J ::

Dve šivanki...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

Anti-virus programi (strani: 1 2 3 445 46 47 48 )

Oddelek: Informacijska varnost
2384451094 (2581) Ijus
»

Ubuntu 10.04 LTS - Change is coming (strani: 1 2 3 417 18 19 20 )

Oddelek: Operacijski sistemi
99981350 (44236) Icematxyz
»

Internetno bančništvo (strani: 1 2 )

Oddelek: Loža
7413410 (9096) Tilen
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
336447 (4599) neki4
»

NLBjeva svninjarija (strani: 1 2 3 )

Oddelek: Loža
12910604 (6728) asPeteR

Več podobnih tem