Trojanac Gaus: Otkriven novi alat za sajber špijunažu

Opisi virusa, 10.08.2012, 11:25 AM

Trojanac Gaus: Otkriven novi alat za sajber špijunažu

Kompanija Kaspersky Lab objavila je da je otkriven virus Gaus, nova sajber pretnja koja pogađa korisnike Bliskog istoka. Gaus je kompleksni alat za sajber špijunažu i kreiran je da krade poverljive podatke, sa posebnim fokusom na veb lozinke, podatke sa onlajn bankovnih računa, kukis (cookies) i konfiguracije sa zaraženih mašina.

Funkcionalnost virusa koji funkcioniše i kao Trojanac za onlajn bankarstvo, koja je pronađena u virusu Gaus, jedinstvena je karakteristika koja nije pronađena ni u jednom do sada poznatom sajber oružju.

Stučnjaci kompanije Kaspersky Lab otkrili su novi virus u junu 2012. Njegov glavni modul su nepoznati autori imenovali prema poznatom nemačkom matematičaru Gausu (Johann Carl Friedrich Gauss). Ostali delovi takođe nose nazive poznatih matematičara (Joseph-Louis Lagrange, Kurt Gödel). Istraga je pokazala da prvi incidenti sa virusom Gaus datiraju još iz septembra 2011. U julu 2012. server komande i kontrole (C&C) virusa Gaus prestao je da funkcioniše.

Brojni moduli virusa Gaus prikupljaju podatake iz različitih pregledača koji obuhvataju istoriju posećenih veb sajtova i lozinke. Detaljni podaci o zaraženom računaru šalju se napadaču, zajedno sa specifičnostima mrežnih interfejsa, drajverima i informacijama o BIOS-u računara. Modul virusa Gaus je takođe sposoban za krađu podataka klijenata iz nekoliko libanskih banki, uključujući i banke Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank i Credit Libanais. Takođe je opasan i za korisnike banaka Citibank i PayPal.

Druga glavna osobina virusa Gaus je sposobnost da zarazi USB fleš diskove, koristeći istu LNK ranjivost kao i virusi Stuxnet i Flame. Istovremeno, ovaj proces je kod virusa Gaus daleko inteligentniji. Gaus je u stanju da „dezinfikuje“ disk pod određenim okolnostima, i koristi prenosivi uređaj za skladištenje prikupljenih podataka u skrivenu datoteku. Druga aktivnost virusa je ugradnja specijalnog fonta koji se zove Palida Narrow, ali cilj ove aktivnosti je i dalje nepoznat.

Iako je Gaus sličan virusu Flame prema dizajnu, geografska rasprostranjenost infekcije je primetno drugačija. Najveći broj računara zaraženih virusom Flame zabeležen je u Iranu, dok se većina žrtava zaražena virusom Gaus nalazi u Libanu. Broj infekcija se takođe razlikuje. Na osnovu rezultata telemetrije (tehnologija koja omogućava daljinsko merenje i prenos informacije sa udaljene lokacije do operatera) koje je obavila kompanija Kaspersky Security Network (KSN), virus Gaus je zarazio oko 2.500 računara. U poređenju sa tim, virus Flame je zarazio znatno manje, oko 700 računara.

Iako još nije otkriven tačan metod koji koristi da bi inficirao računare, jasno je da se virus Gaus širi drugačije nego virusi Flame i Duqu; međutim, slično kao i prethodna dva sajber oružja za špijunažu, mehanizam širenja virusa Gaus se sprovodi kontrolisano, što dodatno ukazuje na krađu i tajnost rada.

Aleksandar Gostev, glavni stručnjak za bezbednost u kompaniji Kaspersky Lab, prokomentarisao je: „Virus Gaus ima neverovatno mnogo sličnosti sa virusom Flame, kao što je njihov dizajn i osnovni kod, što nam je i omogućilo da otkrijemo ovaj zlonamerni program. Slično kao i virusi Flame i Duqu, Gaus je složeni alat za sajber špijunažu, koji svojim dizajnom ističe krađu i tajnost, međutim njegova svrha je bila drugačija nego virusa Flame i Duqu. Virus Gaus pogađa dosta korisnika u odabranim zemljama, i krade velike količine podataka, sa posebnim fokusom na bankarstvo i finansijske informacije.“

U ovom trenutku, virus Gaus Trojan uspešno je detektovan, blokiran i uklonjen pomoću proizvoda kompanije Kaspersky Lab, i klasifikuje se kao Trojan-Spy.Win32.Gauss.

Stručnjaci kompanije su objavili detaljne analize ovog virusa na veb sajtu Securelist.com.

Često postavljana pitanja u vezi sa virusom Gaus možete pronaći ovde.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje