俄羅斯的卡巴斯基實驗室研究人員向民眾求助,請求幫忙破解Gauss惡意軟件一個加密部分。
該加密部分使用的密鑰是由系統目標的配置數據組成,但不知道它的目標是什麼系統或該系統是什麼配置,研究人員一直無法破解加密。
研究人員在周二發佈的博客上表示,他們尋求對密碼學、命理學和數學方面感興趣的人,一起加入共同解決這個謎團。
據悉,該加密部分能夠通過機器傳遞到U盤,它能夠使用.lnk繼續進行惡意行為。除瞭加密部分之外,受感染U盤釋放的兩個其他文件,也包含卡巴斯基無法破解的部分加密代碼。
卡巴斯基稱,相比通常發現的那些惡意軟件,Gauss加密部分的代碼異常復雜。卡巴斯基認為,或許該惡意軟件某部分的數據就可以幫助破解加密部分。
Gauss惡意軟件的主要特點:
Gauss可以將機器上收集好的數據發送給攻擊者。這些信息包括網絡接口信息、計算機驅動細節和BIOS特征。
Gauss可以感染USB thumb驅動器,這一漏洞Stuxnet和Flame病毒都曾用過。
Gauss可以在某些情況下,將收集到的數據存儲在可移動媒體的隱藏文件夾內。
Gauss還安裝瞭一個叫Palida Narrow的特殊字體。
最復雜病毒的兄弟:Gauss惡意軟件
上周,卡巴斯基實驗室又曝光類似Flame病毒的惡意軟件Gauss,一個從事收集財務信息的間諜軟件。
Gauss是出現在中東地區的一個新的網絡間諜軟件,根據卡巴斯基實驗室的描述,該病毒可以竊取瀏覽器保存的密碼、網銀賬戶、Cookies和系統配置信息等敏感數據。此外,Gauss似乎和Stuxnet(超級工廠)病毒來自同一個國傢,而Stuxnet病毒和最復雜病毒Flame關聯緊密。
該惡意軟件最有趣的就是那加密的部分,它指定資源“100”,卡巴斯基擔心,這可能是針對某重要基礎設施的破壞。
卡巴斯基實驗室資深研究員Roel Schouwenberg稱,研究人員仍然不知道Gauss的創建者為什麼要創建字體文件。他說,到目前為止,Gauss一直都處於潛伏狀態,隻被用於監視,但有部分病毒代碼可能隱藏瞭進一步的能力。
卡巴斯基在博客中寫道,被加密的部分足以大,它可以包含一個像Stuxnet(超級工廠病毒)針對SCADA系統那樣的攻擊代碼,從Gauss作者使用的預防措施來看,它的目標肯定是有非常高的知名度。
值得一提的是,這個被加密的有效載荷隻針對特定配置的機器,也就是說,這個配置或許可以作為解密的關鍵。不過這個特定的配置目前仍然是未知的,但卡巴斯基的資深研究員Roel Schouwenberg認為,它隻和系統上的程序、路徑和文件有關。
卡巴斯基在文章中寫道,他們已經嘗試瞭%PROGRAMFILES%和路徑在內的數百萬組合,但都沒有成功。攻擊者似乎是在尋找寫進擴展字符集裡的一個特定的程序名字,如阿拉伯語或希伯來語,或者開頭隻是一個特殊的符號,如“~”。
據悉,Gauss一旦發現某個文件、程序和系統是它所尋找的,它就會使用這些數據進行MD5哈希10000迭代,產生一個128位的RC4密鑰,然後Gauss就會使用這個加密部分來進行啟動。
Orignal From: 研究人員求助於外界幫忙破解Gauss病毒
留言列表
