Charakteristika der Malware
GAUSS verfügt ebenso wie wie FLAME, STUXNET und DUQU über ein „USB-Infektionsmodul“ und entschlüsselt zusätzlich „String Decryption Subroutines“ .
GAUSS verfügt dabei über:
Datensammelfunktion für die befallenen Systeme mit Rückmeldung an den Angreifer. Dabei werden Details des Netzwerkes, Informationen über das angegriffene Laufwerk und BIOS-Charakterstiken übermittelt.
GAUSS infiziert USB-Laufwerke und nutzt dabei Funktionen, die schon bei Stuxnet und Flame beobachtet wurden.
GAUSS verfügt dabei auch über eine Funktion zur „Desinfektion“ befallener Laufwerke, dabei werden Wechselmedien mit versteckten Dateien zur Aufnahme der abgezogenen Informationen verwendet.
Die Malware installiert auch einen speziellen Font mit der Bezeichnung „Pallida Narrow“. Folgende Module werden in den betroffenen Systemen manipuliert:
COSMOS, KURT, GODEL, TAILOR, McDOMAIN, USbDir, Lagrange, Gauss, ShellHW sowie in der Windows Registry die Funktion „TimeStampForUI-binary value (config)“
Auftreten von GAUSS
Seit Mai 2012 wurde GAUSS auf mehr als 2500 Systemen, meist im Libanon, entdeckt. Allerdings kann davon ausgegangen werden, dass diese Malware mittlerweile weite Verbreitung gefunden hat, wobei GAUSS nicht mit der Häufigkeit von STUXNET auftritt.
Mittlerweile wurde bekannt, dass GAUSS bei der Bank von Beirut, bei der EBLF, Blombank, Byblos Bank, FransaBank und der Credit Libanais, der Citibank und bei PayPal aufgetreten ist. In Israel und den Palästinensergebieten wurden mehr als 750 Infektionen beobachtet.
Daneben wurde GAUSS bereits in den Vereinigten Staaten, den Vereinigten Arabischen Emiraten, Deutschland, Ägypten, Katar, Jordanien, Saudi Arabien und Syrien identifiziert.
Abwehrmaßnahmen
Spezialisierte Unternehmen bieten bereits jetzt entsprechende Programme zur Detektion und Neutralisierung von GAUSS an, da dem Vernehmen nach die Malware zwar abgeschaltet sein soll, aber auf bereits befallenen Systemen jederzeit wieder aktiviert werden könnte.
Praxishinweis Unternehmen wird dringend empfohlen, ihre Systeme auf den Befall durch „GAUSS“ durch Fachunternehmen oder mit spezieller Software untersuchen zu lassen, da mit einer jederzeitigen erneuten Aktivierung gerechnet werden muss. |
