Kaspersky ruft zum Knacken des Gauss-Trojaners auf

Um den Gauss-Trojaner weitere Geheimnisse zu entlocken, bittet Kaspersky nun die Krypto-Gemeinde um Unterstützung. Mit vereinten Kräften soll eine besonders raffiniert verschlüsselte Komponente der Malware geknackt werden.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Der Antivirenhersteller Kaspersky bittet die Kryptografie-Community um Unterstützung bei der Entschlüsselung des Gauss-Trojaners. Die Malware-Entwickler haben eine der Komponenten raffiniert verschlüsselt. Diese Verschlüsselung soll nun geknackt werden.

Gauss spannt USB-Sticks ein, um Informationen über andere Rechner einzuholen. Dazu legt es auf dem portablen Speichermedium ein spezielles Spionagetool ab, das beim Anstecken in den Rechner durch die sogenannte LNK-Lücke (sofern vorhanden) automatisch ausgeführt wird. Nach dem Start sammelt der Gauss-Ableger diverse Informationen über das Systemen ein, unter anderem über laufende Prozesse, Laufwerke, Netzwerkfreigaben.

Diese Informationen legt der Spion anschließend auf dem Stick ab; eine Infektion des Rechners erfolgt dabei nicht. Allerdings lauert auf den infizierten Sticks auch noch eine RC4-verschlüsselte Payload, die nur auf ganz bestimmten System ausgeführt wird. Über den Inhalt kann Kaspersky derzeit nur spekulieren, da der zum Entschlüsseln nötige RC4-Key bislang nicht geknackt wurde. Er setzt sich unter anderem aus einem Element der Systemvariable %PATH% und einem Ordnernamen unterhalb von C:\Program Files zusammen.

Um welchen Unterordner des Programme-Ordners es sich handelt, ist bislang noch unklar. Sicher ist nur, das der Ordnername mit einem Unicode-Zeichen oberhalb von 0x007A ("z") beginnt. Das bedeutet, dass der Name entweder mit einem Sonderzeichen wie {, |, } oder ~ beginnt oder es sich um ein Zeichen aus einem Unicode-Block wie Arabisch oder Hebräisch handelt. Wer an den Schlüssel will, muss die Zeichenfolge anschließend salzen und mit MD5 hashen. Das Ergebniss muss danach unter anderem weitere 10.000 Mal gehasht werden, was Brute-Force-Angriffe erheblich erschwert.

Wer sich am Trojaner-Knacken beteiligen will, findet alle nötigen Details sowie Auszüge aus den verschlüsselten Dateien bei Kaspersky. (rei)