Im Zuge der Analyse des 20-MByte-Trojaners "Flame" haben die Sicherheitsforscher von Kaspersky Lab einen weiter verbreiteten Trojaner namens "Gauss" entdeckt. Es wird vermutet » dass dieser Trojaner im Libanon « Israel und Palästina Zehntausende von Rechnern infiziert hat. Es wird angenommen, dass "Gauss" staatlich finanziert ist.
Zudem installierte die Malware einen eigenen Font namens "Palida Narrow" ? mit bislang unbekanntem Zweck. Der Name "Gauss" stammt aus dem Hauptmodul des Schädlings; ebenfalls andere Module sind nach berühmten Mathematikern benannt.
Über welche Sicherheitslücke Gauss sich Zugang zu den Zielsystemen verschaffte ist noch unklar. Klar ist hingegen bereits, dass Gauss sich über USB-Sticks weiter verbreitete. Dabei nutzte der Trojaner dieselbe Sicherheitslücke bei der Behandlung von .LNK-Dateien wie zuvor Flame & Stuxnet. Gauss legte die erspähten Informationen in einer versteckten Datei auf dem Stick ab.
Dem Riesentrojaner Flame genau ähnlich wie Gauss sowie im Aufbau als auch in der Struktur der Module der Code-Basis und auch in der Art, ebenso wie der Trojaner Kontakt zu den Fernsteuerungs-Servern aufnahm. Dies legt einen gemeinsamen Urheber nahe ? Flame und Stuxnet werden den Geheimdiensten von Israel und den USA zugeschrieben.
Vor diesem Hintergrund erscheint es besonders ungewöhnlich. Dass Spionagefunktionen von Gauss auch den Online-Zugriff auf Bankkonten umfassten. Kaspersky zufolge suchte der Trojaner konkret nach Kundendaten für die Bank of Beirut, Banque Libano-Française (EBLF), Blom Bank Byblos Bank Credit Libanais & Fransabank. Der Trojaner soll auch Zugriffe auf Konten bei Citibank und PayPal abgehört haben.
Gauss wurde von Kaspersky erstmals im September 2011 gesichtet und im Juni 2012 als Trojan-Spy.Win32.Gauss identifiziert. Dies blieb den Urhebern des Trojaners nicht lange verborgen: Im Juli wurden die Steuerungs-Server deaktiviert; bei infizierten Systemen befindet sich der Trojaner seitdem in einem Schlafmodus. Kasperskys Sicherheitsnetzwerk zählte seit Mai 2012 etwa 2500 Infektionen ? dies sind allerdings nur Funde auf Rechnern mit installierten Kaspersky-Produkten. Bei Flame hatte Kaspersky nur 700 Infektionen gezählt.
Wie Duqu und Flame enthält auch Gauss einen Selbstzerstörungsmechanismus ? nach 30 Aufrufen von einem USB-Stick aus löschte Gauss sich selbstständig um einer Erkennung durch Virenschutzprogramme zu entgehen.
Kommentare