Специалисты «Лаборатории Касперского» обратились к криптографическому сообществу с просьбой о помощи в расшифровке кода одного из модулей трояна Gauss. Несмотря на все усилия, эксперты все еще не смогли взломать код модуля Godel.

GAUSS

Gauss распространяется посредством -накопителей и заражает компьютерные системы, используя известный LNK-эксплоит. Инфицированные накопители содержат два файла: “System32.dat” и”System32.bin“, являющиеся 32- и 64-битными версиями одного и того же кода, который включает в себя несколько зашифрованных разделов. После запуска троян собирает информацию о системе жертвы. В частности, данные о запущенных процессах, дисках и сетевых ресурсах, а затем сохраняет их в файл под именем “.thumbs.db“. Впоследствии активизируются другие модули троянской программы.

По данным «Лаборатории Касперского», далее срабатывает модуль, который сопоставляет проверенные данные с информацией, заложенной во вредоносном коде. Если сопоставление не было найдено, вредонос удаляет себя, чтобы избежать обнаружения.

В настоящее время истинное предназначение модуля Godel не установлено. Специалисты заявили: «Мы испробовали миллионы комбинаций сочетания известных имен в %PROGRAMFILES% и Path. Однако все безрезультатно».

В «Лаборатории Касперского» отмечают, что троян Gauss ориентируется на конкретное приложение, название которого начинается символом “~” или содержит набор символов на арабском языке или иврите.