News
10.08.2012, 11:40 Uhr
Gauss: neuer «Staatstrojaner» will Bankdaten
Nach Stuxnet, Duqu und Flame gibt es mit Gauss nun einen weiteren Schädling im Bunde der staatlich geförderten Malware. Gauss interessiert sich offenbar vor allem für Geld.
Kaspersky hat soeben eine neue Malware namens «Gauss» entdeckt. Die Virenexperten vermuten einen staatlichen Hintergrund, Gauss betreibe Cyber-Spionage. Der Schädling befalle hauptsächlich Nutzer im Nahen Osten, vor allem im Libanon, und will ihnen vertrauliche Daten stehlen. Zu diesen Daten sollen Passwörter, Onlinebanking-Informationen, Browser-History und Cookies gehören. Neben libanesischen Banken sollen auch Citibank- und Paypal-Kunden zu den Opfern zählen. Gauss sei die erste Cyberwaffe, die Charakteristika eines Onlinebanking-Trojaners aufweise. Gauss infiziert auch USB-Sticks und versteckt gesammelte Daten in einem geheimen Ordner. Ausserdem installiert er die Schriftart «Palida Narrow» – warum, ist den Experten noch nicht klar.
Entdeckt wurde der Schädling bei Folgeuntersuchungen zu Flame. Dieser ist ebenfalls ein Cyber-Schädling, der es aber überwiegend auf Iran, Israel und den Sudan abgesehen hat. Weil er Gemeinsamkeiten mit Flame habe, wurde Gauss entdeckt, teilt Kaspersky mit. Architektur und Struktur der Module sowie Code-Basis und Kommunikationsformen mit den «Command & Control»-Servern seien vergleichbar.
Ferner habe man festgestellt, dass Gauss seit September 2011 aktiv sei. Kurz nach der Entdeckung im Juni 2012 seien die Server von Gauss im Juli 2012 deaktiviert worden. Der Schädling sei damit zwar noch aktiv, aber in einer Art Schlafmodus. Derzeit bekommen die Gauss-Schädlinge keine neuen Anweisungen von den Servern der Macher. Kaspersky spricht von 2500 Infektionen seit Mai 2012. Die Gesamtzahl der Opfer schätze man auf Zehntausende. Das sind mehr als bei Flame und Duqu – aber weniger als bei Stuxnet.
Die Benennung erfolgte übrigens nicht durch Kaspersky, sondern findet sich im Schadcode. Die Entwickler hatten offensichtlich den deutschen Mathematiker Johann Carl Friedrich Gauss (Gauss'sche Glockenkurve) vor Augen. Kaspersky betont, dass seine Produkte Gauss bereits erkennen würden.
Ferner habe man festgestellt, dass Gauss seit September 2011 aktiv sei. Kurz nach der Entdeckung im Juni 2012 seien die Server von Gauss im Juli 2012 deaktiviert worden. Der Schädling sei damit zwar noch aktiv, aber in einer Art Schlafmodus. Derzeit bekommen die Gauss-Schädlinge keine neuen Anweisungen von den Servern der Macher. Kaspersky spricht von 2500 Infektionen seit Mai 2012. Die Gesamtzahl der Opfer schätze man auf Zehntausende. Das sind mehr als bei Flame und Duqu – aber weniger als bei Stuxnet.
Die Benennung erfolgte übrigens nicht durch Kaspersky, sondern findet sich im Schadcode. Die Entwickler hatten offensichtlich den deutschen Mathematiker Johann Carl Friedrich Gauss (Gauss'sche Glockenkurve) vor Augen. Kaspersky betont, dass seine Produkte Gauss bereits erkennen würden.
Kommentare
Es sind keine Kommentare vorhanden.