Kaspersky tìm kiếm trợ giúp để phá trojan Gauss

Kaspersky seeking help to crack the Gauss trojan

14 August 2012, 17:52

Theo: http://www.h-online.com/security/news/item/Kaspersky-seeking-help-to-crack-the-Gauss-trojan-1667367.html

Bài được đưa lên Internet ngày: 14/08/2012

Lời người dịch: Đến Kaspersky Lab nổi tiếng thế giới về an ninh cũng bó giáo tạm xin hàng với việc giải mã module chính “Godel” của trojan Gauss dành riêng cho hệ điều hành Windows và chuyên chọc vào các ngân hàng trực tuyến, và đang tìm kiếm các chuyên gia trong cộng đồng an ninh và mật mã trên thế giới trợ giúp. Vậy mà ai cũng cứ tưởng là phần mềm sở hữu độc quyền thì hỗ trợ là tuyệt đỉnh. Thật đáng ngờ!!!. Xem thêm [01], [02].

Các nhà nghiên cứu tại Kaspersky Lab đang tìm kiếm trong cộng đồng mật mã sự trợ giúp trong việc giải mã trojan Gauss. Bất chấp những nỗ lực tốt nhất của họ, các nhà nghiên cứu cho tới nay đã không có khả năng để phá một tải được mã hóa trong module “Godel” của trojan này; họ hy vọng rằng các thành viên của các cộng đồng toán học và mật mã sẽ có khả năng để bóc tách được tải ẩn này.

Trojan Gauss lan truyền thông qua các đầu USB và lây nhiễm cho hệ thống bằng việc sử dụng khai thác nổi tiếng LNK. Các ổ bị lây nhiễm bao gồm 2 tệp - “System32.dat” và “System32.bin” - mà là các phiên bản 32 và 64 bit của cùng mã nguồn bao gồm vài phần được mã hóa. Một khi được chạy, trojan trước hết thu thập thông tin về hệ thống của nạn nhân bao gồm các tiến trình đang chạy, các ổ đĩa và các chia sẻ mạng, và lưu chúng tới tệp khác trên ổ có tên là “.thumbs.db”, sau đó các module khác sẽ được khởi động.

Theo Kaspersky, phần mềm độc hại này sau đó cố giải mã module khác bằng việc sử dụng vài chuỗi từ hệ thống. Tải này có ý định chạy trong một hệ thống đặc thù; nó sẽ chỉ được thực thi nếu các chuỗi được tìm thấy. Các nhà nghiên cứu tại Kaspersky chỉ có thể đoán đối với những gì module này làm cho tới khi họ có thể phá được nó: “Chúng tôi đã cố gắn hàng triệu tổ hợp của các tên được biết trong đường dẫn %PROGRAMFILES%, mà không thành công”. Đội này nói rằng trojan dường như tìm kiếm một ứng dụng rất đặc biệt được thiết lập như Arabic hoặc Hebrew.

Phần tài nguyên của tải là, các nhà nghiên cứu nói, đủ lớn “để chứa một mã của cuộc tấn công nhằm đích giống như Stuxnet”. Họ cũng đi tới lưu ý rằng tất cả những sự đề phòng về an inh được các tác giả của trojan tiến hành dường như chỉ rằng trojan đứng đằng sau một đích cao cấp.

Những người có quan tâm trong việc giúp pháp tải của trojan có thể thấy thông tin xa hơn, bao gồm ví dụ và các dữ liệu nguồn, trong một bài viết trên blog Securelist của Kaspersky.

Xem thêm:

• Phông được cài đặt với trojan Gauss làm nảy sinh các câu hỏi, một báo cáo của The H.

Security researchers at Kaspersky Lab are looking to the cryptography community for help in deciphering the Gauss trojan. Despite their best efforts, the researchers have so far been unable to crack an encrypted payload in the trojan's "Godel" module; they hope that members of the cryptology and mathematics communities will be able to extract the hidden payload.

The Gauss trojan spreads via USB drives and infects systems using the well-known LNK exploit. These infected drives include two files – "System32.dat" and "System32.bin" – which are 32- and 64-bit versions of the same code which includes several encrypted sections. Once executed, the trojan first gathers information about the victim's system including running processes, drives and network shares, and save them to another file on the drive named ".thumbs.db", after which other modules are launched.

According to Kaspersky, the malware then tries to decrypt another module using several strings from the system. This payload is intended to run on a specific system; it will only be executed if the strings are found. The researchers at Kaspersky can only speculate as to what this module does until they can crack it: "We have tried millions of combinations of known names in %PROGRAMFILES% and Path, without success." The team say that the trojan appears to be looking for a very specific application that has a name that starts with a special symbol like "~" or is written in an extended character set such as Arabic or Hebrew.

The resource section of the payload is, the researchers say, large enough "to contain a Stuxnet-like SCADA targeted attack code". They also go on to note that all of the security precautions taken by the authors of the trojan seem to indicate that the trojan is after a high-profile target.

Those interested in helping to crack the trojan's payload can find further information, including sample and source data, in a post on Kaspersky's Securelist blog.

See also:

• Font installed with Gauss trojan raises questions, a report from The H.

(crve)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com