繼Flame後,又有超級間諜病毒Gauss現身,專門竊取網路銀行使用者的個人資料,企業快檢測有無感染Gauss病毒。
日前,卡巴斯基實驗室(Kaspersky Lab)發現一款複雜的超級間諜病毒Gauss,由於Gauss包含一個稱之為Godel的加密模組一直無法被破解,讓卡巴斯基研究人員傷透腦筋,甚至在部落格上表示:「我們歡迎任何對解密和運算有興趣的人加入,共同解決該問題,並找出隱藏在其中的資料(encrypted payload)。」
根據卡巴斯基的偵測,目前約有2,500台電腦感染Gauss,但實際受感染的總數應達數萬台,目前已知有數家黎巴嫩銀行受害,另外,花旗銀行(Citibank)與PayPal的用戶也受到威脅。
在感染區域方面,黎巴嫩是Gauss的頭號目標。根據賽門鐵克(Symantec)8/13發出的Gauss最新威脅報告,光是黎巴嫩的感染數量就高達1,179個,其次為以色列(28)、巴勒斯坦地區的(12)、土耳其(11),除了中東區域,美國也偵測到147起感染,俄國與中國也有發現Gauss蹤跡。
由於Gauss無論在架構、攻擊手法、與複雜度,皆和2個月前被發現的Flame相似,也因此備受矚目。賽門鐵克(Symantec)表示,Gauss的架構與Flame一樣都是模組化設計,簡單來說,就像一個大的攻擊套件,涵括許多不同的攻擊模組,因此可以展開多種攻擊行動,此外,他們也運用相似的系統將竊取到的資料傳送至C&C(command-and-control)伺服器。
若進一步分析Gauss包含的模組,每一個皆可執行不同任務,包括蒐集特定的系統資料、安裝瀏覽器外掛程式、與C&C伺服器溝通,以及竊取使用者的個人資料,包含銀行帳戶資料、email、即時通訊、社群網站帳號。另外,該病毒也會透過USB隨身碟擴散。
而且Gauss與Flame一樣被用來竊取機密性資料,且被視為受到國家級支援的網路攻擊武器,只不過,Flame竊取的是特定政府單位、組織或系統的資料,Gauss則鎖定網路銀行,以竊取個人機密性資料為主。Bitdefender首席安全研究員Catalin Cosoi指出,這顯示了這種國家級的網路戰爭正朝向金融機構發展。
使用者如果想知道自己的電腦是否遭受Gauss感染,可以透過卡巴斯基與匈牙利布達佩斯大學電腦安全研究實驗室CrySySy共同合作所提供的線上工具進行檢測。此外,資安廠商Bitdefender也已發布病毒清除工具,讓使用者可以檢測並清除Gauss。
超級間諜病毒Gauss與Flame比一比
|
Gauss
|
Flame
|
架構
|
模組化架構,功能有:
n 蒐集特定的系統資料
n 安裝瀏覽器外掛程式
n 與C&C伺服器溝通
n 竊取使用者的個人資料
|
模組化架構,功能有:
n 偵測電腦有無防毒軟體,並暫時停止執行相關程序或停止執行惡意程式碼運作。
n 使用電腦的麥克風記錄對話。
n 針對特定應用程式使用screenshot擷取畫面。
n 記錄鍵盤敲打過程。
n 監測網路流量,以及與週遭的藍牙裝置連結。
|
透過USB隨身碟進行擴散
|
可以
|
可以
|
攻擊目標
|
鎖定網路銀行,以竊取個人機密資料為主
|
竊取政府單位、組織或系統的資料
|
感染區域
|
中東地區、美國、中國、俄國
|
中東地區、匈牙利、奧地利、俄國、香港
|
最大受害國家
|
黎巴嫩
|
伊朗
|
資料來源:《資安人》整理,2012/8。