Najden še en vladni trojanec, Gauss
Mandi
10. avg 2012 ob 08:28:18
Kaspersky poroča o najdbi še enega vohunskega trojanca, ki bo bržkone plod dela ameriške in izraelske vlade, namenjen pa napadom na bližnjevzhodne tarče. "Gauss" je sprva deloval zgolj kot različica Flamea (s katerim tudi delita določene module), vendar so po natančnem pregledu ugotovili, da ima precej drugačne cilje: zanimajo ga gesla za spletno bančništvo, vključuje pa še neznani modul, ki je šifriran in to tako, da se lahko odklene zgolj na določenih strojnih konfiguracijah, zato preprosto ne vedo, kaj dela.
Oznako "Gauss" so pobrali iz imena enega od modulov; povezavo z Libanonom pa domnevajo iz simbolov za razhroščevanje (debug symbol), ki so jih avtorji, najbrž pomotoma, pustili v nekaterih različicah trojanca. Delovno ime tiste različice je bilo "gauss_white", pri čemer ima beseda za belo barvo v hebrejščini isti koren kot ime za državo Libanon.
Njihove lastne statistike kažejo na okoli 2500 okužb, od tega čez 1600 v omenjeni državi. Iz tega ugibajo, da je skupno število okuženih računalnikov v več deset tisočih. Večina poganja Windows 7, okužijo pa se predvsem preko USB ključkov in zdaj že pokrpane napake .lnk. Trojanec najprej poskenira računalnik in omrežno okolje, se naseli v brskalnik, nato pa zapiše nazaj v skriti sektor USB ključka. Kontrolnim (C&C) strežnikom se javi šele ob naslednji uporabi ključka, po zaključku dela (skeniranju 30 različnih računalnikov) pa se tudi sam izbriše.
Kot rečeno, je eden od Gaussovih modulov namenjen kraji gesel za spletno bančništvo, še eden pa lovi piškotke in gesla e-poštnih, družbenih in IM storitev. To je nekoliko nenavadno za vladno sponzorirane viruse, ki jih denar na teh računih naj ne bi pretirano zanimal. Kaspersky špekulira, da jih morda zanimajo podatki o specifičnih osebah ali pa možnost ohromitve teh oseb z izpraznitvijo njihovih računov. Največja neznanka seveda ostaja šifrirani modul, ki svoj dešifrirni ključ sestavi iz določenih sistemskih parametrov, zato se na večini sistemov ne uspe odkleniti. Ugibajo, da zato, da bi pravi namen trojanca ostal skrit dlje časa, ter da otežijo izdelavo klonov in njihovo rabo zoper lastne države. Kaspersky še ni uspel najti ustrezne konfiguracije, vendar se nadeja, da jim bo slej ko prej uspelo, sploh ob pomoči širše protivirusne in hekerske skupnosti.
Softverska vojna je torej v polnem teku.