Сообщения Symantec о W32.Gauss

[alexsf]

Это сообщение — ещё один пример того, что специалисты компании Symantec не считают зазорным сообщать о достижениях компаний-конкурентов. Да и мы тоже.

Предлагаю перевод небольшой статьи из Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">офблога Symantec о новой угрозе на Ближнем Востоке, которая очень похожа на нашумевший недавно Flamer.

Это первая информация по Gauss на русском языке в Интернет, потому в конце я немного добавлю статистики.

""" Лаборатория Касперского вчера Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">сообщила о новом сложном вредоносном кибер-шпионе под названием Gauss, который похищает со взломанных компьютеров широкий набор данных и отправляет их на свои командно-контрольные центры.

Symantec в настоящее время определяет эту последнюю угрозу, как Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">W32.Gauss и поступающие доклады свидетельствуют о его высокой концентрации на Ближнем Востоке.

W32.Gauss похож по дизайну и функционалу на W32.Flamer:
- та же модульная архитектура;
- похожий программный код;
- аналогичная система связи с командно-контрольными центрами (C&C серверами).

W32.Gauss находится в работе в течение многих месяцев, и имеет множество модулей, каждый из которых выполняет конкретную задачу:
- сбор сведений об операционной системе;
- установка различных модулей, в том числе плагинов для браузеров;
- сбор и хищение конфиденциальной информации из банковских, почтовых, IM и социальных аккаунтов;
- связь элементов управления с командно-контрольными центрами;
- распространение через USB-накопители, чтобы потом красть данные с других компьютеров.

Интересной особенностью данной вредоносной программы является то, что он может перехватывать связь с финансовыми учреждениями, что ранее было нетипично для вредоносных кибер-шпионов этой сложности.

Вектор инфекции в настоящее время неизвестен, однако есть любопытная деталь, один из модулей зачем-то устанавливает шрифт Palida Narrow. Кроме того, некоторые модули "полезной нагрузки", занятые в распространении на USB-накопителях, содержат зашифрованный RC4 двоичный ресурс. Основные данные этих "полезных нагрузок" пока не расшифрованы.

Symantec Security Response активно изучает и отслеживает информацию по этой угрозе. """

Статистика
Перед Gauss не могут устоять даже обновленные Windows 7 SP1, Vista SP2, XP SP3. Лишь некоторые модули вредоноса не работают на Windows 7 SP1. По количеству инфекций Gauss уже превосходит Flamer, но пока уступает Stuxnet. Наибольшее количество инфекций Gauss зафиксировано в Ливане (1660), в Израиле (483), Палестине (261), США (43), ОАЭ (11) и некоторых других странах. С полном отчётом можно ознакомиться на сайте Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">Securelist.

Энди-701
Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">источник: