Kaspersky tìm kiếm trợ giúp để phá trojan Gauss

Kasperskyseeking help to crack the Gauss trojan

14 August 2012, 17:52

Theo:http://www.h-online.com/security/news/item/Kaspersky-seeking-help-to-crack-the-Gauss-trojan-1667367.html

Bài được đưa lênInternet ngày: 14/08/2012

Lờingười dịch: Đến Kaspersky Lab nổi tiếng thế giới vềan ninh cũng bó giáo tạm xin hàng với việc giảimã module chính “Godel” của trojan Gauss dành riêng cho hệđiều hành Windows và chuyên chọc vào các ngân hàngtrực tuyến, và đang tìm kiếm các chuyên gia trong cộngđồng an ninh và mật mã trên thế giới trợ giúp. Vậymà ai cũng cứ tưởng là phần mềm sở hữu độc quyềnthì hỗ trợ là tuyệt đỉnh. Thật đáng ngờ!!!. Xem thêm[01],[02].

Các nhà nghiên cứutại Kaspersky Lab đang tìm kiếm trong cộng đồng mật mãsự trợ giúp trong việc giải mã trojan Gauss. Bất chấpnhững nỗ lực tốt nhất của họ, các nhà nghiên cứucho tới nay đã không có khả năng để phá một tải đượcmã hóa trong module “Godel” của trojan này; họ hy vọngrằng các thành viên của các cộng đồng toán học vàmật mã sẽ có khả năng để bóc tách được tải ẩnnày.

Trojan Gauss lan truyềnthông qua các đầu USB và lây nhiễm cho hệ thống bằngviệc sử dụng khai thác nổi tiếng LNK. Các ổ bị lâynhiễm bao gồm 2 tệp - “System32.dat” và “System32.bin”- mà là các phiên bản 32 và 64 bit của cùng mã nguồn baogồm vài phần được mã hóa. Một khi được chạy,trojan trước hết thu thập thông tin về hệ thống củanạn nhân bao gồm các tiến trình đang chạy, các ổ đĩavà các chia sẻ mạng, và lưu chúng tới tệp khác trên ổcó tên là “.thumbs.db”, sau đó các module khác sẽ đượckhởi động.

Theo Kaspersky, phầnmềm độc hại này sau đó cố giải mã module khác bằngviệc sử dụng vài chuỗi từ hệ thống. Tải này có ýđịnh chạy trong một hệ thống đặc thù; nó sẽ chỉđược thực thi nếu các chuỗi được tìm thấy. Các nhànghiên cứu tại Kaspersky chỉ có thể đoán đối vớinhững gì module này làm cho tới khi họ có thể phá đượcnó: “Chúng tôi đã cố gắn hàng triệu tổ hợp củacác tên được biết trong đường dẫn %PROGRAMFILES%, màkhông thành công”. Đội này nói rằng trojan dường nhưtìm kiếm một ứng dụng rất đặc biệt được thiếtlập như Arabic hoặc Hebrew.

Phần tài nguyên củatải là, các nhà nghiên cứu nói, đủ lớn “để chứamột mã của cuộc tấn công nhằm đích giống nhưStuxnet”. Họ cũng đi tới lưu ý rằng tất cả những sựđề phòng về an inh được các tác giả của trojan tiếnhành dường như chỉ rằng trojan đứng đằng sau mộtđích cao cấp.

Những người có quantâm trong việc giúp pháp tải của trojan có thể thấythông tin xa hơn, bao gồm ví dụ và các dữ liệu nguồn,trong một bài viết trên blog Securelist của Kaspersky.

Xem thêm:

• Phông được cài đặt với trojan Gauss làm nảy sinh các câu hỏi, một báo cáo của The H.

Securityresearchers at Kaspersky Lab are lookingto the cryptography community for help in deciphering the Gausstrojan. Despite their best efforts, the researchers have so farbeen unable to crack an encrypted payload in the trojan's "Godel"module; they hope that members of the cryptology and mathematicscommunities will be able to extract the hidden payload.

TheGauss trojan spreads via USB drives and infects systems using thewell-knownLNK exploit. These infected drives include two files –"System32.dat" and "System32.bin" – which are32- and 64-bit versions of the same code which includes severalencrypted sections. Once executed, the trojan first gathersinformation about the victim's system including running processes,drives and network shares, and save them to another file on the drivenamed ".thumbs.db", after which other modules are launched.

Accordingto Kaspersky, the malware then tries to decrypt another module usingseveral strings f-rom the system. This payload is intended to run on aspecific system; it will only be executed if the strings are found.The researchers at Kaspersky can only speculate as to what thismodule does until they can crack it: "We have tried millions ofcombinations of known names in %PROGRAMFILES% and Path, withoutsuccess." The team say that the trojan appears to be looking fora very specific application that has a name that starts with aspecial symbol like "~" or is written in an extendedc-haracter set such as Arabicor Hebrew.

Theresource section of the payload is, the researchers say, large enough"to contain a Stuxnet-like SCADA targeted attack code".They also go on to note that all of the security precautions taken bythe authors of the trojan seem to indicate that the trojan is after ahigh-profile target.

Thoseinterested in helping to crack the trojan's payload can find furtherinformation, including sample and source data, in a poston Kaspersky's Securelist blog.

Seealso:

• Font installed with Gauss trojan raises questions, a report f-rom The H.

(crve)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com