zurück zum Artikel

Kaspersky ruft zum Knacken des Gauss-Trojaners auf

Ronald Eikenberg

Um den Gauss-Trojaner weitere Geheimnisse zu entlocken, bittet Kaspersky nun die Krypto-Gemeinde um Unterstützung. Mit vereinten Kräften soll eine besonders raffiniert verschlüsselte Komponente der Malware geknackt werden.

Der Antivirenhersteller Kaspersky bittet die Kryptografie-Community um Unterstützung [1] bei der Entschlüsselung des Gauss-Trojaners [2]. Die Malware-Entwickler haben eine der Komponenten raffiniert verschlüsselt. Diese Verschlüsselung soll nun geknackt werden.

Gauss spannt USB-Sticks ein, um Informationen über andere Rechner einzuholen. Dazu legt es auf dem portablen Speichermedium ein spezielles Spionagetool ab, das beim Anstecken in den Rechner durch die sogenannte LNK-Lücke [3] (sofern vorhanden) automatisch ausgeführt wird. Nach dem Start sammelt der Gauss-Ableger diverse Informationen über das Systemen ein, unter anderem über laufende Prozesse, Laufwerke, Netzwerkfreigaben.

Diese Informationen legt der Spion anschließend auf dem Stick ab; eine Infektion des Rechners erfolgt dabei nicht. Allerdings lauert auf den infizierten Sticks auch noch eine RC4-verschlüsselte Payload, die nur auf ganz bestimmten System ausgeführt wird. Über den Inhalt kann Kaspersky derzeit nur spekulieren, da der zum Entschlüsseln nötige RC4-Key bislang nicht geknackt wurde. Er setzt sich unter anderem aus einem Element der Systemvariable %PATH% und einem Ordnernamen unterhalb von C:\Program Files zusammen.

Um welchen Unterordner des Programme-Ordners es sich handelt, ist bislang noch unklar. Sicher ist nur, das der Ordnername mit einem Unicode-Zeichen oberhalb von 0x007A ("z") beginnt. Das bedeutet, dass der Name entweder mit einem Sonderzeichen wie {, |, } oder ~ beginnt oder es sich um ein Zeichen aus einem Unicode-Block wie Arabisch [4] oder Hebräisch [5] handelt. Wer an den Schlüssel will, muss die Zeichenfolge anschließend salzen und mit MD5 hashen. Das Ergebniss muss danach unter anderem weitere 10.000 Mal gehasht werden, was Brute-Force-Angriffe erheblich erschwert.

Wer sich am Trojaner-Knacken beteiligen will, findet alle nötigen Details sowie Auszüge aus den verschlüsselten Dateien bei Kaspersky [6]. (rei [7])

URL dieses Artikels:
https://www.heise.de/-1667036

Links in diesem Artikel:
[1] http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload
[2] https://www.heise.de/news/Banking-Trojaner-Gauss-vermutlich-mit-staatlichem-Auftrag-1664509.html
[3] https://www.heise.de/news/Microsoft-bestaetigt-USB-Trojaner-Luecke-1039915.html
[4] http://de.wikipedia.org/wiki/Unicodeblock_Arabisch
[5] http://de.wikipedia.org/wiki/Unicodeblock_Hebr%C3%A4isch
[6] http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload
[7] mailto:rei@heise.de

Copyright © 2012 Heise Medien