«Лаборатория Касперского» просит помощи в расшифровке модуля трояна Gauss

Исследователи «Лаборатории Касперского» обратились к криптографическому сообществу с просьбой о помощи в расшифровке кодов одного из модулей трояна Gauss. Несмотря на все усилия, экспертам все еще не удалось взломать код модуля Godel.

Отметим, что троян Gauss распространяется посредством USB-накопителей и заражает компьютерные системы, используя известный LNK-эксплоит. Инфицированные накопители содержат два файла: "System32.dat" и"System32.bin", являющиеся 32- и 64-битными версиями одного и того же кода, который включает в себя несколько зашифрованных разделов. После запуска троян собирает информацию о системе жертвы. В частности, данные о запущенных процессах, дисках и сетевых ресурсах, а затем сохраняет их в файл под именем ".thumbs.db". Впоследствии активизируются другие модули троянской программы.

По данным «Лаборатории Касперского», далее срабатывает модуль, который сопоставляет проверенные данные с информацией, заложенной во вредоносном коде. Если сопоставление не было найдено, вредонос удаляет себя, чтобы избежать обнаружения.

В настоящее время истинное предназначение модуля Godel не установлено. Специалисты заявили: «Мы испробовали миллионы комбинаций сочетания известных имен в %PROGRAMFILES% и Path. Однако все безрезультатно».

В «Лаборатории Касперского» отмечают, что троян Gauss ориентируется на конкретное приложение, название которого начинается символом "~" или содержит набор символов на арабском языке или иврите.

Подробно с отчетом "Лаборатории Касперского" можно ознакомиться здесь.