Обнаружение Gauss

«Лаборатория Касперского» представила подробный отчет (дополнение) о работе трояна под названием Gauss (Trojan-Spy.Win32.Gauss). Совпадение названия вируса с фамилией известного математика неслучайно, именно в честь него был назван основной модуль слежения за интернет-активностью пользователя («winshell.ocx»), присутствующий во всех обнаруженных модификациях трояна. Некоторые другие модули также были названы авторами вируса в честь математиков: Курт Гёдель («dskapi.ocx» — проверка антивирусной защиты и копирование украденных данных на USB-носитель), Тейлор («lanhlp32.ocx» — сбор информации о беспроводных сетях), Лагранж («windig.ocx» — установка специального шрифта «Palida Narrow» и подтверждение заражения). Также были обнаружены следующие модули: Cosmos («devwiz.ocx» — сбор информации из BIOS и CMOS), McDomain («mcdmn.ocx» — сбор информации о сетевом адаптере и домене), UsbDir («smdk.ocx» — похож на раннюю версию «dskapi.ocx»), ShellHW («wmiqry32.dll/wmihlp32.dll» — главный загрузочный модуль с функцией связи с управляющим центром). Как видно из названий файлов модулей, многие из них имеют расширение «OCX», именно это позволило идентифицировать троян. Обнаружен троян Gauss был в июне 2012 года, а в начале июля его командные центры прекратили свою работу. Первые модули датируются июнем 2011 года, таким образом троян Gauss оставался незамеченным антивирусами около года. Всего было зафиксировано около 2500 заражений, преимущественно в Ливане, Израиле, Палестине и ОАЭ. Основная задача трояна сводилась к мониторингу финансовых операций через системы дистанционного банковского обслуживания клиентов Bank of Beirut, EBLF, BlomBank, Byblos Bank, Fransabank, Credit Libanais, Citibank и платежной системы PayPal. Собранные данные сохранялись в системном реестре и временной папке. Затем эта информация отправлялась на управляющие центры по HTTPS, а также на специально помеченный Flash-накопитель, который также осуществлял заражение системы. Семь управляющих серверов имели статичные домены, размещаемые сначала в Португалии, а затем в Индии. Примечательно, что шрифт «Palida Narrow», устанавливаемый модулем «Лагранж», имеет португальское название. При этом эксперты «ЛК» затрудняются назвать его точное назначение. Наблюдатели предполагают, что авторы вируса могут иметь какое-то отношение к Португалии. По мнению экспертов, обнаруженный троян является одним из средств кибер-шпионажа, применяемым США в странах Ближнего Востока. Интерес к банковской системе Ливана на протяжение последнего года активно проявлял Барак Обама, утверждая, что в их банках хранятся финансы международных террористических организаций.

Источник: uinc.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s