Analysen zur GAUSS-Malware

GAUSS: Bankingtrojaner und Supermalware

Seite: 3/3

Deshalb Installiert GAUSS eine Schriftart

Bei einer Infektion mit GAUSS wird eine Schriftart namens "Palida Narrow" installiert. Der Zweck dieser Installation ist jedoch nicht klar. Interessant ist es hier zu erwähnen, dass Duqu eine FONT Rendering Lücke Systeme infizierte. Es gibt verschiedene teilweise sehr fantasievolle Theorien zu dieser Schriftart:

  • 1. Es gibt Vermutungen die besagen dass über eine Kerning Funktion bei der Eingabe eine gewissen Zeichenfolge Schadcode ausgeführt werden könnte.
  • 2. Das die installierte Schriftart in diversen Dokumenten die originale Schriftart ersetzt und somit ausgedruckte Dokumente anhand der Schriftart als Dokumente infizierter Quelle ausfindig gemacht werden könnten.
  • 3. Das mit der Schriftart bestückte Systeme durch speziell geschriebene Webseiten als infizierte Systeme erkannt werden könnten.

Im folgenden eine Beschreibung wie eine Webseite ein infiziertes System erkennen könnte:

Bildergalerie

Webseiten enthalten zumeist eine Verlinkung zu einem Cascading Style Sheet (CSS), dieses enthält mitunter Informationen darüber wie z.B. der Text der Webseite dargestellt werden soll.

So kann auch eine lokale Schriftart zur Darstellung der Webseite genutzt werden. Betrachten wir nun folgendes CSS Beispiel (Quelle Crysys.hu):

@font-face {font-family: "Palida";src: local("Palida Narrow"),url("palida.ttf");}
@font-face {font-family: "Crysysida";src:url("Crysysida.ttf");}

Diese CCS verweist den Browser die lokale Schriftart Palida Narrow zu nutzen, sollte dies nicht möglich sein verweist es den Browser diese herunterzuladen und zu installieren. In dem Beispiel wurde noch eine weitere Schriftart hinzugefügt um einen Check auszuführen. Dieser sieht wie folgt aus:

  • Lädt ein Client beide Schriftarten herunter, so ist das System nicht infiziert.
  • Lädt der Client nur die Crysysida, so ist das System infiziert, da Palida Narrow schon installiert ist
  • Lädt der Client nichts herunter, so kann es sein dass der Browser dies nicht unterstützt oder die Funktion deaktiviert wurde.

Der Online-Check

Das Crysys bietet mittlerweile einen Online-Check an, welcher den zugreifenden Rechner auf das Vorhandensein der Schriftart Palida Narrow prüft.

(ID:35074200)