بدافزار PWS-Gauss
چيست؟
بدافزاری پیچیده با میزان انتشار کم (Low) که به منظور دزدی و جمع آوری اطلاعات شخصی و مالی کاربران طراحی شده است. این بدافزار که به نام یک ریاضیدان مشهور آلمانی به نام Johann Carl Friedrich Gauss نامگذاری شده، برای اولین بار در تیر ماه سال جاری (1391) کشف شده است و شباهت هایی با ویروس های Flame و Stuxnet و Duqu دارد. بدافزار Gauss منطقه ی خاورمیانه را مورد هدف قرار داده است و بیشترین آلودگی ها در کشور لبنان و به خصوص در بانک های این کشور مشاهده شده است.
انتشار
در حال حاضر به طور واضح و دقیق نحوه ی آلوده شدن سیستم ها به این بدافزار و نصب شدن بخش ها ی آن بر روی سیستم مشخص نمی باشد اما با این حال، نامه های الکترونیکی (Email) و هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت بدافزار Gauss کنند، کانالهای IRC، شبکه های محلی، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين بدافزار هستند.
خرابکاری
بدافزار Gauss برای جمع آوری اطلاعات شخصی رمزهای عبور و اطلاعات بانکی اشخاص طراحی شده است. این بدافزار دارای چارچوبی متشکل از چندین بخش می باشد که باهم کار کرده و هریک از آنها یکی از قابلیت های مخرب بدافزار را اجرا می کند. چارچوب کلی این بدافزار بسیار شبیه به چارچوب ویروس Flame می باشد.
هر کدام از بخش های این بدافزار برای دزدی اطلاعات خاصی طراحی شده اند. برخی از بخش های بدافزار Gauss دارای قابلیت هایی نظیر افزودن برنامه های جانبی (Plug-in) به مرورگرها، آلوده سازی حافظه های USB و اجرای دستورات Java و Active X هستند. لازم به توضیح است این بدافزار یک بخش اصلی و یا مادر دارد که وظیفه ی بارگذاری و کنترل دیگر بخش ها را برعهده دارد. همچنین این بخش مادر، مسئولیت ارتباط با مرکز کنترل و فرماندهی بدافزار Gauss را بر عهده دارد. بخش مادر از 2 فایل Dll به نام های زیر تشکیل شده است:
wmiqry32.dll
wmiqry32.dll
بدافزار Gauss با ساختن مدخل زیر در محضرخانه ی سیستم با هر بار راه اندازی مجدد، اجرا می شود:
HKCR\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32
Default = %SystemRoot%\System32\wbem\wmiqry32.dll
همچنین یک فایل ثبت رویدادها (Log) در مسیر زیر ساخته می شود:
%temp%\~stm.tmp
در صورتی که بدافزار تشخیص دهد که پروسه ای مربوط به برنامه های امنیتی و ضدویروس بر روی سیستم در حال اجرا می باشد، بخش اصلی بدافزار بارگذاری نخواهد شد.
به طور کلی هدف این بدافزار جمع آوری و دزدی اطلاعات سیستمی در کنار اطلاعات حساب های نامه های الکترونیکی و سایت های اجتماعی مانند Facebook و حساب کاربری دامنه ها (domain) و مخصوصا اطلاعات حساب بانکی کاربران می باشد.
در شکل زیر ساختار بخش های مختلف بدافزار Gauss نمایش داده شده است:
در قسمت زیر هرکدام از بخش های این بدافزار به همراه عملی که انجام می دهد آورده شده است:
DEVWIZ.OCX :
این بخش اطلاعات Bios سیستم از قبیل سازنده ی آن، نسخه و تاریخ انتشار آن را جمع آوری نموده و در فایل زیر ذخیره می نماید:
%WINDIR%\\temp\\~ZM6AD3.tmp
DSKAPI.OCX :
هدف این بخش آلوده نمودن حافظه های جانبی و بارگزاری دیگر فایل ها و برنامه های مخرب و همچنین غیرفعال نمودن تمامی پروسه های امنیتی در حال اجرا بر روی سیستم می باشد. این بخش فایل های زیر را بر روی سیستم اضافه می نماید:
Creates %commonprogramfiles%\system\wabdat.dat
Creates %temp%\~gdl.tmp
LANHLP32.OCX :
این بخش اطلاعات مربوط به شبکه ی بی سیم ای که سیستم قربانی به آن متصل است را جمع آوری و در فایل زیر ذخیره می نماید.
%systemroot%\Temp\s61cs3.dat
WINDIG.OCX :
این بخش از بدافزار چند فونت را به سیستم اضافه می نماید.
MCDMN.OCX :
این بخش اطلاعات مربوط به کارت های شبکه ی دستگاه و شبکه و دامنه ای که سیستم در آن قرار دارد را جمع آوری و در فایل زیر ذخیره می نماید.
%USERPROFILE%\Local Settings\Temp\md.bak
SMDK.OCX :
این بخش اطلاعات مربوط به درایوهای موجود بر روی دیسک را جمع آوری و در فایل زیر ذخیره می نماید.
%temp%\~mdk.tmp
WINSHELL.OCX:
هدف این بخش نصب افزونه هایی بر روی مرورگرهای اینترنت و ویندوز و همینطور جمع آوری اطلاعات مرور و جستجو شده در سیستم عامل و اینترنت می باشد. این اطلاعات شامل تمامی وب سایت های مشاهده شده توسط کاربر و رمزهای عبور استفاده شده در مرورگر می باشد.
افزونه های زیر توسط این بخش بر روی مرورگر Fire fox نصب می شوند:
browser.js
browser.xul
fileio.js
Chrome. Manifest
install.rdf
همچنین افزونه ای با نام بر روی مرورگر Fire fox نصب می شود که در شکل زیر نشان داده شده است:
در حالی که بدافزارهای Stuxnet و Duqu و Flame همگی سیستم های بخش های صنعتی را مورد هدف قرار می دادند، بدافزار Gauss شامل یک اسب تروا برای دزدی اطلاعات بانکی آنلاین می باشد که در هیچ یک از بدافزارهای اشاره شده، مشاهده نشده بود.
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6811 و بالاتر قادر به شناسایی و پاکسازی این ویروس با نام های زیر می باشد.
PWS-Gauss
PWS-Gauss.a
PWS-Gauss.b