Gauss: Abnormal Distribution

[Nytro]

Gauss: Abnormal Distribution

• Introduction
  
• Executive Summary
  
• Infection stats
  
• Architecture
  
• Wmiqry32/Wmihlp32.dll aka ShellHW
  
• Dskapi.ocx
  
• Smdk.ocx
  
• McDmn.ocx
  
• Lanhlp32.ocx
  
• Devwiz.ocx
  
• Winshell.ocx
  
• Windig.ocx
  
• Gauss C&C Information
  
• Timeline
  
• Files list
  
• Conclusion
  

You can download PDF version of this article here.

Link:

http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

[Usr6]

in ro:

Kaspersky Lab anunta descoperirea lui Gauss, un nou malware care ataca utilizatorii din Orientul Mijlociu. Gauss este un instrument de spionaj cibernetic, finantat de un stat. El a fost creat pentru a fura informatii confidentiale, cu precadere parolele introduse in browser, datele de autentificare pentru conturile de online banking, cookie-uri si configuratiile specifice ale computerelor infectate.

Functionalitatea de troian pentru conturile de online banking identificata in Gauss reprezinta o caracteristica unica, nemaiintalnita pana acum in instrumentele de spionaj cibernetic finantate de state.

Gauss a fost descoperit in timpul cercetarilor initiate de Uniunea Internationala a Telecomunicatiilor (ITU) imediat dupa descoperirea Flame. Eforturile acestei organizatii au rolul de a diminua riscurile cauzate de amenintarile informatice, cu scopul mentinerii pacii in mediul cibernetic.

ITU, prin expertiza oferita de Kaspersky Lab, contribuie la intarirea securitatii cibernetice globale prin implicarea activa a guvernelor, sectorului privat, organizatiilor internationale si a societatii civile, pe langa partenerii activi din cadrul initiativei ITU-IMPACT.

Expertii Kaspersky Lab au descoperit Gauss prin identificarea unor asemanari cu Flame. Printre acestea se numara platforma similara, structurile modulelor componente, codurile de criptare si caile de comunicare cu serverele de comanda si control (C&C).

Sumar:

-Gauss a devenit operational in luna septembrie 2011.

-A fost identificat in iunie 2012, ca urmare a informatiilor stranse in timpul analizei in profunzime si a cercetarii realizate pentru virusul Flame.

-Descoperirea a fost posibila datorita asemanarilor puternice dintre Flame si Gauss.

-Infrastructura C&C a Gauss a fost inchisa in iulie 2012, la scurt timp dupa ce malware-ul a fost descoperit. In momentul de fata, Gauss se afla in stare latenta, asteptand reactivarea serverelor de comanda si control (C&C).

-De la finalul lunii mai 2012, peste 2500 de infectii au fost inregistrate de sistemul de securitate „cloud“ al Kaspersky Lab, cu un numar de victime total estimat la nivelul zecilor de mii. Numarul este mai mic decat cel al victimelor Stuxnet, dar mai ridicat decat cel al victimelor Flame si Duqu.

-Gauss fura informatii detaliate despre PC-ul infectat, inclusiv istoricul browser-ului, cookie-uri, parole si configuratii de sistem. De asemenea, este capabil sa adune datele de autentificare pentru diferite sisteme de plata online si conturi de online banking.

-Analiza Gauss dezvaluie faptul ca a fost creat pentru a fura date de la diferite banci, in special banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank si Credit Libanais. In plus, acesta tintea si clientii Citibank si PayPal.

Modulul principal al acestui malware a fost numit de catre creatorii sai dupa matematicianul de origine germana, Johann Carl Friedrich Gauss. De asemenea, alte componente ale acestuia poarta numele unor matematicieni sau filosofi celebri, ca Joseph Louis Lagrange si Kurt Gödel. Investigatiile au dezvaluit faptul ca primele incidente informatice atribuite lui Gauss dateaza din luna septembrie 2011. In iulie 2012, serverele de comanda si control ale acestuia au incetat sa mai functioneze.

Mai multe module ale lui Gauss au rolul de a colecta informatii din browser-ele web, inclusiv a istoricului site-urilor vizitate si a parolelor. Atacatorilor le sunt trimise si detalii referitoare la computerul infectat, date specifice interfetelor de retea, driver-elor de sistem si informatii despre BIOS. Gauss este capabil sa fure date de la clientii unor banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank si Credit Libanais. In plus, acesta tintea si clientii Citibank si PayPal.

Un alt atribut-cheie a noii amenintari informatice este acela de a infecta stick-uri USB, folosind aceeasi vulnerabilitate LNK, identificata in Stuxnet si Flame. Insa, procesul de infectare prin USB este mult mai inteligent – Gauss are capacitatea de a „dezinfecta” stick-ul in anumite circumstante si foloseste dispozitivul pentru a stoca informatiile furate intr-un fisier ascuns. Pe langa acestea, troianul instaleaza un font special – Palida Narrow – al carui scop nu a fost inca identificat.

Cu toate ca Gauss este foarte asemanator cu Flame, geografia infectiilor este diferita. Cele mai multe computere infectate de Flame se aflau in Iran, in timp ce majoritatea victimelor lui Gauss sunt localizate in Liban. Numarul infectiilor este, de asemenea, diferit. Cifrele Kaspersky Security Network (KSN) arata ca acesta a infectat aproximativ 2500 de computere, comparativ cu cele 700 compromise cu Flame.

Cu toate ca metoda exacta folosita pentru infectarea PC-urilor nu este cunoscuta inca, nu exista niciun dubiu in faptul ca Gauss se raspandeste diferit fata de Flame sau Duqu. Cu toate acestea, asemenea ultimelor doua arme cibernetice descoperite, mecanismele de propagare sunt realizate intr-o maniera controlata, cu accent pe camuflarea si pastrarea secreta a operatiunilor.

„Gauss seamana izbitor cu Flame atat la design, cat si la nivelul bazei de cod, lucru care ne-a ajutat la identificarea lui”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Asemenea lui Flame si Duqu, Gauss este un instrument complex de spionaj cibernetic, cu un design creat special pentru camuflaj. Insa, scopul lui a fost diferit de cel al Duqu si Flame – Gauss tinteste utilizatori din mai multe tari, pentru a fura cantitati mari de date, in special informatii financiare si de banking”, completeaza Gostev.

In momentul de fata, troianul Gauss este blocat si sters cu succes de catre toate suitele de securitate Kaspersky Lab. Acesta este identificat sub numele Trojan-Spy.Win32.Gauss.

sursa:
http://www.faravirusi.com/2012/08/09/kaspersky-lab-a-descoperit-gauss-o-noua-amenintare-informatica-avansata/