返回新闻列表

卡巴斯基实验室诚邀志愿者共同揭开Gauss的神秘面纱

        卡巴斯基实验室近期宣布了对Gauss的发现。Gauss是一种复杂,背后由国家机构支持的网络间谍工具。Gauss包含了许多信息盗取的功能,特别对浏览器上的密码、网银账户和受感染设备的系统配置非常感兴趣。卡巴斯基实验室的专家们发现Gauss与Flame有相似之处。从2012年5月以来,卡巴斯基实验室的云安全系统已经记录到超过2,500例相关的感染,而大部分感染的发现都来自于中东地区。

        卡巴斯基实验室的专家们已经发表有关Gauss的研究文章,分析出其主要的功能和特点,以及该恶意程序的架构、模块、通信方式和感染数据。然而,关于Gauss秘密和一些问题还没有得到解答。最让人费解的就是Gauss的加密载荷。

        加密载荷被放置在Gauss的USB数据盗取模块中,用来寻找和剖析出受感染系统中的目标特定程序。一旦受到感染的USB插入有漏洞的计算机里,恶意程序便会执行,并试图通过创建密钥来解密载荷。密钥是从设备上的特定系统配置中生成的。例如,包括程序文件中的文件夹名,该程序文件必须是以Arabic或Hebrew的扩展字体命名的。如果恶意程序辨别出合适的配置,便能成功的解密和执行载荷。

        卡巴斯基实验室全球研究与分析小组首席安全专家Aleks Gostev表示:“加密载荷的目的和功能目前都尚不清楚。对加密技术的使用,以及该恶意程序创建者做出的一些防范措施都表明藏匿这种载荷的目的是找到有高级别的数据。载荷的大小也是一个令人担忧的问题。它的大小可以包含用于网络破坏的编码,与Stuxnet的SCADA代码情况类似。对这个载荷的解密能够为我们提供更好的了解此次威胁的整体目的和攻击的性质。

        卡巴斯基实验室诚邀各位对加密学、逆向工程学或者数学方面有兴趣的同仁,一起来找到解密这个隐藏载荷的方法。有关这些问题的技术描述,请阅读Securelist.com上的相关文章。