شماره: IRCNE2012081576
تاريخ: 22/05/91
سيستمهاي هدف بدافزار سيستم عاملهاي تحت ويندوز بوده و اهداف شناسايي شده كشورهاي حوزه خاورميانه گزارش شده است. قابل ذكر است كه بيشتر سيستمهاي قرباني از سيستم عامل ويندوز نسخه 7 استفاده مينمايند.كشورهاي با بيشترين حجم آلودگي به ترتيب شامل لبنان، فلسطين، امريكا، امارات متحده عربي، قطر، اردن، آلمان و مصر ميباشند.
Guass از طريق انتقال ماژول سرقت اطلاعات خود به usb درايو قرباني و با توجه به آسيب پذيري سيستمهاي ويندوز با نام CVE-2010-2568 منتشر ميگردد. اطلاعات سرقت شده از سيستم قرباني ميتواند تحت فايل hidden در usb درايو باقي بماند تا در زمان مناسب به سرور كنترل و فرماندهي ارسال گردد. از ديگر ويژگيهاي اين بدافزار، نصب فونتي با نام Palida Narrow بر روي سيستم بوده كه هدف نصب اين فايل در حال حاضر نامشخص ميباشد.
به منظور شناسايي آلودگي سيستم به اين بدافزار ميتوان وجود فايل فونت Palida Narrow را در سيستم بررسي نمود. شركتهاي امنيتي نيز با توجه به بررسي وجود فايل مذكور، ابزارهايي را با هدف شناسايي سيستمهاي آلوده ايجاد نمودهاند.
Guass كاملا ماژولار بوده و امكان افزودن امكانات جديد را به صورت plugin به مهاجم ميدهد. قابليتهاي شناسايي شده اين بدافزار شامل موارد زير ميگردد:
- سرقت اطلاعات كوكي مرورگر و رمزعبور.
- تزريق ماژولهاي خود به انواع مرورگرها براي سرقت اطلاعات سيستم.
- سرقت اطلاعات تنظيمات شبكه سيستم.
- آلوده ساختن USB درايوها به منظور سرقت اطلاعات ديگر سيستمها.
- جستجو و ارسال اطلاعات سيستم قرباني به مهاجم.
- دريافت اطلاعات مربوط به BIOS و CMOS RAM سيستم قرباني.
- فهرست نمودن درايورها و فولدرهاي سيستم قرباني.
- سرقت اطلاعات بانكي علي الخصوص در كشورهاي خاورميانه و ارسال به سرورهاي كنترل و فرماندهي.
- سرقت اطلاعات مربوط به حسابهاي كاربري شبكههاي اجتماعي و پست الكترونيك.
در حال حاضر در حدود 2500 سيستم در دنيا به اين بدافزار آلوده هستند. سرورهاي كنترل و فرماندهي شناسايي شده مربوط به بدافزار Gauss در جولاي سال 2012 متوقف شدهاند. اين بدافزار اطلاعات كاربران بانكهايي همچون بانكهاي زير را مورد تهديد قرار داده است.
Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank , Credit Libanais , Citibank , PayPal
براساس بررسي هاي انجام شده توسط مركز ماهر تا كنون هيچ گونه آلودگي مبني بر انتشار بدافزار Gauss در كشور شناسايي نشده است.
گزارشات تكميلي در خصوص نحوه عملكرد اين بدافزار منتشر خواهد گرديد.
- 2