«Лаборатория Касперского» просит помощи в расшифровке модуля трояна Gauss
Исследователи «Лаборатории Касперского» обратились к криптографическому сообществу с просьбой о помощи в расшифровке кодов одного из модулей трояна Gauss. Несмотря на все усилия, экспертам все еще не удалось взломать код модуля Godel.
Отметим, что троян Gauss распространяется посредством USB-накопителей и заражает компьютерные системы, используя известный LNK-эксплоит. Инфицированные накопители содержат два файла: "System32.dat" и"System32.bin", являющиеся 32- и 64-битными версиями одного и того же кода, который включает в себя несколько зашифрованных разделов. После запуска троян собирает информацию о системе жертвы. В частности, данные о запущенных процессах, дисках и сетевых ресурсах, а затем сохраняет их в файл под именем ".thumbs.db". Впоследствии активизируются другие модули троянской программы.
По данным «Лаборатории Касперского», далее срабатывает модуль, который сопоставляет проверенные данные с информацией, заложенной во вредоносном коде. Если сопоставление не было найдено, вредонос удаляет себя, чтобы избежать обнаружения.
В настоящее время истинное предназначение модуля Godel не установлено. Специалисты заявили: «Мы испробовали миллионы комбинаций сочетания известных имен в %PROGRAMFILES% и Path. Однако все безрезультатно».
В «Лаборатории Касперского» отмечают, что троян Gauss ориентируется на конкретное приложение, название которого начинается символом "~" или содержит набор символов на арабском языке или иврите.
Отметим, что троян Gauss распространяется посредством USB-накопителей и заражает компьютерные системы, используя известный LNK-эксплоит. Инфицированные накопители содержат два файла: "System32.dat" и"System32.bin", являющиеся 32- и 64-битными версиями одного и того же кода, который включает в себя несколько зашифрованных разделов. После запуска троян собирает информацию о системе жертвы. В частности, данные о запущенных процессах, дисках и сетевых ресурсах, а затем сохраняет их в файл под именем ".thumbs.db". Впоследствии активизируются другие модули троянской программы.
По данным «Лаборатории Касперского», далее срабатывает модуль, который сопоставляет проверенные данные с информацией, заложенной во вредоносном коде. Если сопоставление не было найдено, вредонос удаляет себя, чтобы избежать обнаружения.
В настоящее время истинное предназначение модуля Godel не установлено. Специалисты заявили: «Мы испробовали миллионы комбинаций сочетания известных имен в %PROGRAMFILES% и Path. Однако все безрезультатно».
В «Лаборатории Касперского» отмечают, что троян Gauss ориентируется на конкретное приложение, название которого начинается символом "~" или содержит набор символов на арабском языке или иврите.