Analysen zur GAUSS-Malware

GAUSS: Bankingtrojaner und Supermalware

Seite: 2/3

Warum GAUSS?

Die in GAUSS verwandten Module wurden nach berühmten Mathematikern und Philosophen benannt wie z.B.:Kurt Godel, Johann Carl Friedrich Gauss and Joseph-Louis Lagrange. Das aktuell interessanteste Modul welches den Datenstehlenden Bestandteil trägt heisst GAUSS, somit war ein Name für den Schädling schnell gefunden. Die Entwickler haben vergessen debbuging informationen zu bereinigen, so konnten Projektpfade ermittelt werden, diese lauten:

August 2011 d:\projects\gaussOctober 2011 d:\projects\gauss_for_macis_2Dec 2011-Jan 2012 c:\documents and settings\flamer\desktop\gauss_white_1

Bezüglich des Strings "white" gibt es aktuell eine Theorie. Man vermutet dass man sich hier auf den Libanon bezieht, dem Land mit den meisten GAUSS Infektionen. Laut Wikipedia stammt der Name Libanon vom Sprachstamm LBN, welcher Weiß bedeutet und sich auf die weiße Kuppe des Berges Libanon bezieht.

Bildergalerie

Das kann der GAUSS-Trojaner

Die Payload des GAUSS ist wie schon bei den anderen Schädlingen gesehen verschlüsselt. Es konnte bisher nur ein geringer Teil entschlüsselt werden und somit ist noch vieles unklar. Die bisher bekannten Module sind:

  • Abfangen von Cookies und Passwörtern
  • Sammeln und versenden von System Konfigurationsinformationen
  • Infektion von USB Sticks mit einem Datenstehlenden Modul
  • Auflistung von Dateien und Verzeichnissen der Laufwerke
  • Stehlen diverser Bankingzugänge aus dem Mittleren Osten
  • Stehlen diverser Accountinformationen Sozialer Netzwerke, Emailanbieter und Instant Messaging

Bei den Bankingzugängen handelt es sich um diverse libanesische Banken wie: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Zudem steht noch die Citibank und Paypal im Fokus des Schädlings.

So verbreitet sich GAUSS

Die genauen Verbreitungswege sind bisher unklar. Fakt ist dass Kaspersky Labs 2.500 infizierte Systeme ausfindig machen konnte und von mehreren unbekannten zehn Tausend ausgeht.

Der Hauptkontrollserver wurde durch den AV-Hersteller deaktiviert. Was jedoch schon ermittelt werden konnte ist, dass GAUSS USB Sticks infiziert. Hierbei nutzt es die .LNK-Schwachstelle, diese wurde durch Stuxnet bekannt und auch in Flame weiterhin genutzt. Jedoch war man hier bei der Umsetzung deutlich spitzfindiger. Die durch GAUSS auf dem Stick hinterlegte Routine enthält einen Time to Live Wert von 30, was bedeutet, dass die Schadroutine nachdem sie 30 mal auf dem Stick gelaufen ist sich selber entfernt und den Stick somit wieder bereinigt.

(ID:35074200)