Digitalisering

Hjälp till att lösa mysteriet med Gauss-trojanen

Virusexperter ber nu om hjälp att knäcka den mystiska laddningen i Gauss – det senaste exemplet på statsutvecklad skadlig kod efter Stuxnet, Duqu och Flame.

Publicerad

Det är Kaspersky Labs som nu går ut och ber om hjälp för att lösa vad man kallar en krypterad stridsspets i trojanen Gauss som blev känd för någon vecka sedan.

Det rör sig om en modul i koden som kallas Godel – rimligen uppkallad efter den tyske matematikern Gödel eftersom andra moduler i koden bär kända namn som Gauss och Lagrange.

Modulen innehåller en krypterad ”laddning” som trojanen själv försöker dekryptera och sedan köra på den infekterade datorn.

Trots alla försök har Kaspersky Labs inte lyckats dekryptera koden och publicerar därför nu all tillgänglig information  i hopp om att personer intresserade av matematik och kryptologi ska hjälpa till att lösa mysteriet.

Den krypterade koden är inte det enda frågetecknet kring Gauss. Andra olösta frågor är hur den sprids, och varför trojanen installerar den ovanliga fonten Palida Narrow på infekterade datorer.

Kaspersky Labs publicerade upptäckten av Gauss den 9 augusti, men den tros vara skapad i mitten av 2011 och använd för första gången i augusti eller september samma år.

Det rör sig om en trojan som registrerar kakor och lösenord i webbläsaren, sammanställer och skickar i väg systeminformation, infekterar usb-minnen och kopierar kontoinformation för epost och sociala nätverk. Informationen skickas till ett litet antal servrar som dock stängdes ner innan trafiken hann undersökas.

Det mest speciella är att Gauss stjäl inloggningsuppgifter för en begränsad skara nätbanker i Mellanöstern.

Gauss är också främst spridd i Libanon, Israel och Palestina.

Kaspersky Labs tror inte att syftet är att komma åt pengar. Företaget säger sig nämligen vara säkert på att trojanen är statligt utvecklad, som en del i cyberkrigföring, och stater ägnar sig knappast åt att tömma bankkonton.

Gauss är nära besläktat med det extremt avancerade spionprogrammet Flame som i sin tur är besläktat med Duqu och Stuxnet – sabotagemasken som i juli 2010 slog it-världen med häpnad genom sin mycket precisa inriktning mot centrifugerna i Irans anläggningar för anrikning av uran.