"Лаборатория Касперского" представила подробный отчет о работе нового многомодульного банковского трояна под названием Gauss (Trojan-Spy.Win32.Gauss). Совпадение названия вируса с фамилией известного математика неслучайно, именно в честь него был назван основной модуль слежения за интернет-активностью пользователя ("winshell.ocx"), присутствующий во всех обнаруженных модификациях трояна. Некоторые другие модули также были названы авторами вируса в честь математиков: Курт Гёдель ("dskapi.ocx" - проверка антивирусной защиты и копирование украденных данных на USB-носитель), Тейлор ("lanhlp32.ocx" - сбор информации о беспроводных сетях), Лагранж ("windig.ocx" - установка специального шрифта "Palida Narrow" и подтверждение заражения). Также были обнаружены следующие модули: Cosmos ("devwiz.ocx" - сбор информации из BIOS и CMOS), McDomain ("mcdmn.ocx" - сбор информации о сетевом адаптере и домене), UsbDir ("smdk.ocx" - похож на раннюю версию "dskapi.ocx"), ShellHW ("wmiqry32.dll/wmihlp32.dll" - главный загрузочный модуль с функцией связи с управляющим центром). Как видно из названий файлов модулей, многие из них имеют расширение "OCX", именно это позволило идентифицировать троян. Многомодульные трояны, использующие OCX-компоненты, привлекли внимание вирусных аналитиков после обнаружения в мае 2012 года трояна Flame (W32.Flamer), который также использовал OCX-модули. Однако на этом сходство этих троянов заканчивается, поскольку эксперты не смогли обнаружить никаких общих черт, кроме уже названной многомодульности, некоторых общедоступных функций кодирования строк и использования уязвимости CVE-2010-2568 для распространения через Flash-накопители. Обнаружен троян Gauss был в июне 2012 года, а в начале июля его командные центры прекратили свою работу. Первые модули датируются июнем 2011 года, таким образом троян Gauss оставался незамеченным антивирусами около года. Всего было зафиксировано около 2500 заражений, преимущественно в Ливане, Израиле, Палестине и ОАЭ. Основная задача трояна сводилась к мониторингу финансовых операций через системы дистанционного банковского обслуживания клиентов Bank of Beirut, EBLF, BlomBank, Byblos Bank, Fransabank, Credit Libanais, Citibank и платежной системы PayPal. Собранные данные сохранялись в системном реестре и временной папке. Затем эта информация отправлялась на управляющие центры по HTTPS, а также на специально помеченный Flash-накопитель, который также осуществлял заражение системы. Семь управляющих серверов имели статичные домены, размещаемые сначала в Португалии, а затем в Индии. Примечательно, что шрифт "Palida Narrow", устанавливаемый модулем "Лагранж", имеет португальское название. При этом эксперты "ЛК" затрудняются назвать его точное назначение. Наблюдатели предполагают, что авторы вируса могут иметь какое-то отношение к Португалии. По мнению экспертов, обнаруженный троян является одним из средств кибер-шпионажа, применяемым США в странах Ближнего Востока. Интерес к банковской системе Ливана на протяжение последнего года активно проявлял Барак Обама, утверждая, что в их банках хранятся финансы международных террористических организаций.
Полный отчет (англ.)