觀點

超級間諜病毒Gauss現身 專偷網銀帳戶資料

2012 / 08 / 17
廖珮君
超級間諜病毒Gauss現身  專偷網銀帳戶資料

Flame後,又有超級間諜病毒Gauss現身,專門竊取網路銀行使用者的個人資料,企業快檢測有無感染Gauss病毒。

 

日前,卡巴斯基實驗室(Kaspersky Lab)發現一款複雜的超級間諜病毒Gauss,由於Gauss包含一個稱之為Godel的加密模組一直無法被破解,讓卡巴斯基研究人員傷透腦筋,甚至在部落格上表示:「我們歡迎任何對解密和運算有興趣的人加入,共同解決該問題,並找出隱藏在其中的資料(encrypted payload)。」

 

根據卡巴斯基的偵測,目前約有2,500台電腦感染Gauss,但實際受感染的總數應達數萬台,目前已知有數家黎巴嫩銀行受害,另外,花旗銀行(Citibank)PayPal的用戶也受到威脅。

 

在感染區域方面,黎巴嫩是Gauss的頭號目標。根據賽門鐵克(Symantec)8/13發出的Gauss最新威脅報告,光是黎巴嫩的感染數量就高達1,179個,其次為以色列(28)、巴勒斯坦地區的(12)、土耳其(11),除了中東區域,美國也偵測到147起感染,俄國與中國也有發現Gauss蹤跡。

 

由於Gauss無論在架構、攻擊手法、與複雜度,皆和2個月前被發現的Flame相似,也因此備受矚目。賽門鐵克(Symantec)表示,Gauss的架構與Flame一樣都是模組化設計,簡單來說,就像一個大的攻擊套件,涵括許多不同的攻擊模組,因此可以展開多種攻擊行動,此外,他們也運用相似的系統將竊取到的資料傳送至C&C(command-and-control)伺服器。

 

若進一步分析Gauss包含的模組,每一個皆可執行不同任務,包括蒐集特定的系統資料、安裝瀏覽器外掛程式、與C&C伺服器溝通,以及竊取使用者的個人資料,包含銀行帳戶資料、email、即時通訊、社群網站帳號。另外,該病毒也會透過USB隨身碟擴散。

 

而且GaussFlame一樣被用來竊取機密性資料,且被視為受到國家級支援的網路攻擊武器,只不過,Flame竊取的是特定政府單位、組織或系統的資料,Gauss則鎖定網路銀行,以竊取個人機密性資料為主。Bitdefender首席安全研究員Catalin Cosoi指出,這顯示了這種國家級的網路戰爭正朝向金融機構發展。

 

使用者如果想知道自己的電腦是否遭受Gauss感染,可以透過卡巴斯基與匈牙利布達佩斯大學電腦安全研究實驗室CrySySy共同合作所提供的線上工具進行檢測。此外,資安廠商Bitdefender也已發布病毒清除工具,讓使用者可以檢測並清除Gauss

 

超級間諜病毒GaussFlame比一比

 

Gauss

Flame

架構

模組化架構,功能有:

n          蒐集特定的系統資料

n          安裝瀏覽器外掛程式

n          C&C伺服器溝通

n          竊取使用者的個人資料

模組化架構,功能有:

n          偵測電腦有無防毒軟體,並暫時停止執行相關程序或停止執行惡意程式碼運作。

n          使用電腦的麥克風記錄對話。

n          針對特定應用程式使用screenshot擷取畫面。

n          記錄鍵盤敲打過程。

n          監測網路流量,以及與週遭的藍牙裝置連結。

透過USB隨身碟進行擴散

可以

可以

攻擊目標

鎖定網路銀行,以竊取個人機密資料為主

竊取政府單位、組織或系統的資料

感染區域

中東地區、美國、中國、俄國

中東地區、匈牙利、奧地利、俄國、香港

最大受害國家

黎巴嫩

伊朗

資料來源:《資安人》整理,2012/8