Отметим, что троян Gauss распространяется посредством USB-накопителей и заражает компьютерные системы, используя известный LNK-эксплоит. Инфицированные накопители содержат 2 файла: «System32.dat» и»System32.bin», являющиеся 32- и 64-битными версиями одного и того же кода, который включает в себя несколько зашифрованных разделов. После запуска троян собирает информацию о системе жертвы. В частности, данные о запущенных процессах, дисках и сетевых ресурсах, а затем сохраняет их в файл под именем «.thumbs.db». Впоследствии активизируются другие модули троянской программы.
По данным «Лаборатории Касперского», далее срабатывает модуль, который сопоставляет проверенные данные с информацией, заложенной во вредоносном коде. Если сопоставление не было найдено, вредонос удаляет себя, чтобы избежать обнаружения. В настоящее время истинное предназначение модуля Godel не установлено. Специалисты объявили : «Мы испробовали миллионы комбинаций сочетания известных имен в %PROGRAMFILES% и Path. Однако все безрезультатно». В «Лаборатории Касперского» отмечают, что троян Gauss ориентируется на конкретное приложение, название которого начинается символом «~» или содержит набор символов на арабском языке или иврите.
Подробно с отчетом «Лаборатории Касперского» можно ознакомиться здесь.
Нет комментарий