Trojanac Gaus: Otkriven novi alat za sajber špijunažu

Opisi virusa, 10.08.2012, 11:25 AM

Kompanija Kaspersky Lab objavila je da je otkriven virus Gaus, nova sajber pretnja koja pogađa korisnike Bliskog istoka. Gaus je kompleksni alat za sajber špijunažu i kreiran je da krade poverljive podatke, sa posebnim fokusom na veb lozinke, podatke sa onlajn bankovnih računa, kukis (cookies) i konfiguracije sa zaraženih mašina.

Funkcionalnost virusa koji funkcioniše i kao Trojanac za onlajn bankarstvo, koja je pronađena u virusu Gaus, jedinstvena je karakteristika koja nije pronađena ni u jednom do sada poznatom sajber oružju.

Stučnjaci kompanije Kaspersky Lab otkrili su novi virus u junu 2012. Njegov glavni modul su nepoznati autori imenovali prema poznatom nemačkom matematičaru Gausu (Johann Carl Friedrich Gauss). Ostali delovi takođe nose nazive poznatih matematičara (Joseph-Louis Lagrange, Kurt Gödel). Istraga je pokazala da prvi incidenti sa virusom Gaus datiraju još iz septembra 2011. U julu 2012. server komande i kontrole (C&C) virusa Gaus prestao je da funkcioniše.

Brojni moduli virusa Gaus prikupljaju podatake iz različitih pregledača koji obuhvataju istoriju posećenih veb sajtova i lozinke. Detaljni podaci o zaraženom računaru šalju se napadaču, zajedno sa specifičnostima mrežnih interfejsa, drajverima i informacijama o BIOS-u računara. Modul virusa Gaus je takođe sposoban za krađu podataka klijenata iz nekoliko libanskih banki, uključujući i banke Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank i Credit Libanais. Takođe je opasan i za korisnike banaka Citibank i PayPal.

Druga glavna osobina virusa Gaus je sposobnost da zarazi USB fleš diskove, koristeći istu LNK ranjivost kao i virusi Stuxnet i Flame. Istovremeno, ovaj proces je kod virusa Gaus daleko inteligentniji. Gaus je u stanju da „dezinfikuje“ disk pod određenim okolnostima, i koristi prenosivi uređaj za skladištenje prikupljenih podataka u skrivenu datoteku. Druga aktivnost virusa je ugradnja specijalnog fonta koji se zove Palida Narrow, ali cilj ove aktivnosti je i dalje nepoznat.

Iako je Gaus sličan virusu Flame prema dizajnu, geografska rasprostranjenost infekcije je primetno drugačija. Najveći broj računara zaraženih virusom Flame zabeležen je u Iranu, dok se većina žrtava zaražena virusom Gaus nalazi u Libanu. Broj infekcija se takođe razlikuje. Na osnovu rezultata telemetrije (tehnologija koja omogućava daljinsko merenje i prenos informacije sa udaljene lokacije do operatera) koje je obavila kompanija Kaspersky Security Network (KSN), virus Gaus je zarazio oko 2.500 računara. U poređenju sa tim, virus Flame je zarazio znatno manje, oko 700 računara.

Iako još nije otkriven tačan metod koji koristi da bi inficirao računare, jasno je da se virus Gaus širi drugačije nego virusi Flame i Duqu; međutim, slično kao i prethodna dva sajber oružja za špijunažu, mehanizam širenja virusa Gaus se sprovodi kontrolisano, što dodatno ukazuje na krađu i tajnost rada.

Aleksandar Gostev, glavni stručnjak za bezbednost u kompaniji Kaspersky Lab, prokomentarisao je: „Virus Gaus ima neverovatno mnogo sličnosti sa virusom Flame, kao što je njihov dizajn i osnovni kod, što nam je i omogućilo da otkrijemo ovaj zlonamerni program. Slično kao i virusi Flame i Duqu, Gaus je složeni alat za sajber špijunažu, koji svojim dizajnom ističe krađu i tajnost, međutim njegova svrha je bila drugačija nego virusa Flame i Duqu. Virus Gaus pogađa dosta korisnika u odabranim zemljama, i krade velike količine podataka, sa posebnim fokusom na bankarstvo i finansijske informacije.“

U ovom trenutku, virus Gaus Trojan uspešno je detektovan, blokiran i uklonjen pomoću proizvoda kompanije Kaspersky Lab, i klasifikuje se kao Trojan-Spy.Win32.Gauss.

Stručnjaci kompanije su objavili detaljne analize ovog virusa na veb sajtu Securelist.com.

Često postavljana pitanja u vezi sa virusom Gaus možete pronaći ovde.