俄罗斯的卡巴斯基实验室研究人员向民众求助,请求帮忙破解Gauss恶意软件一个加密部分。
该加密部分使用的密钥是由系统目标的配置数据组成,但不知道它的目标是什么系统或该系统是什么配置,研究人员一直无法破解加密。
研究人员在周二发布的博客上表示,他们寻求对密码学、命理学和数学方面感兴趣的人,一起加入共同解决这个谜团。
据悉,该加密部分能够通过机器传递到U盘,它能够使用.lnk继续进行恶意行为。除了加密部分之外,受感染U盘释放的两个其他文件,也包含卡巴斯基无法破解的部分加密代码。
卡巴斯基称,相比通常发现的那些恶意软件,Gauss加密部分的代码异常复杂。卡巴斯基认为,或许该恶意软件某部分的数据就可以帮助破解加密部分。
Gauss恶意软件的主要特点:
Gauss可以将机器上收集好的数据发送给攻击者。这些信息包括网络接口信息、计算机驱动细节和BIOS特征。
Gauss可以感染USB thumb驱动器,这一漏洞Stuxnet和Flame病毒都曾用过。
Gauss可以在某些情况下,将收集到的数据存储在可移动媒体的隐藏文件夹内。
Gauss还安装了一个叫Palida Narrow的特殊字体。
最复杂病毒的兄弟:Gauss恶意软件
上周,卡巴斯基实验室又曝光类似Flame病毒的恶意软件Gauss,一个从事收集财务信息的间谍软件。
Gauss是出现在中东地区的一个新的网络间谍软件,根据卡巴斯基实验室的描述,该病毒可以窃取浏览器保存的密码、网银账户、Cookies和系统配置信息等敏感数据。此外,Gauss似乎和Stuxnet(超级工厂)病毒来自同一个国家,而Stuxnet病毒和最复杂病毒Flame关联紧密。
该恶意软件最有趣的就是那加密的部分,它指定资源“100”,卡巴斯基担心,这可能是针对某重要基础设施的破坏。
卡巴斯基实验室资深研究员Roel Schouwenberg称,研究人员仍然不知道Gauss的创建者为什么要创建字体文件。他说,到目前为止,Gauss一直都处于潜伏状态,只被用于监视,但有部分病毒代码可能隐藏了进一步的能力。
卡巴斯基在博客中写道,被加密的部分足以大,它可以包含一个像Stuxnet(超级工厂病毒)针对SCADA系统那样的攻击代码,从Gauss作者使用的预防措施来看,它的目标肯定是有非常高的知名度。
值得一提的是,这个被加密的有效载荷只针对特定配置的机器,也就是说,这个配置或许可以作为解密的关键。不过这个特定的配置目前仍然是未知的,但卡巴斯基的资深研究员Roel Schouwenberg认为,它只和系统上的程序、路径和文件有关。
卡巴斯基在文章中写道,他们已经尝试了%PROGRAMFILES%和路径在内的数百万组合,但都没有成功。攻击者似乎是在寻找写进扩展字符集里的一个特定的程序名字,如阿拉伯语或希伯来语,或者开头只是一个特殊的符号,如“~”。
据悉,Gauss一旦发现某个文件、程序和系统是它所寻找的,它就会使用这些数据进行MD5哈希10000迭代,产生一个128位的RC4密钥,然后Gauss就会使用这个加密部分来进行启动。
网友评论