【情報】巨大マルウェア 「Stuxnet」「Flame」に続く「Gauss」 −カスペルスキー
1 :sin+sinφ ★:
Kaspersky Lab は中東のユーザーを標的とする新たなサイバー脅威「Gauss(ガウス)」を発見したことを発表します。
ガウスは、国家主導で開発された複雑なサイバースパイ型ツールキットであり、感染したマシンから、
ブラウザのパスワード、オンラインバンキングのログイン情報、cookie、そして特定の設定データをはじめとした
個人情報を盗むよう設計されています。
Gauss のオンラインバンキングを狙うトロイの木馬機能には、既知のサイバー兵器とは異なる独自の特徴があります。
Gauss は、Flame の発見を受け国際電気通信連合(ITU)が中心となって実施している調査活動の過程で検知されました。
(中略)
Gauss の基本情報:
・Gauss の活動開始時期は 2011 年 9 月であったと分析される。
・マルウェア Flame に関する詳細な調査分析から得られた知識を元に、2012 年 6 月に初めて検知された。
・Flame と Gauss の間に強い類似性と相関関係があったことから発見に至った。
・Gauss の C&C インフラは、発見後まもなくの 2012 年 7 月に閉鎖された。
現在このマルウェアは休止中であり、C&C サーバーがアクティブになるのを待機している状態にある。
・2012 年 5 月終盤以降、Kaspersky Lab のクラウドベースのセキュリティシステムにより、
2,500 件以上もの感染が報告されており、Gauss による被害件数は合計で何万件にも上ると推定される。
これは、Stuxnet の攻撃数より少ないものの、Flame および Duqu よりははるかに多い件数である。
・Gauss は、ブラウザ閲覧履歴、cookie、パスワード、システム構成を含む感染 PC に関する詳細情報を詐取する。
また、さまざまなオンラインバンキングシステムや決済システムのログイン情報も盗むことができる。
・Bank of Beirut、EBLF、BlomBank、ByblosBank、FransaBank、Credit Libanais などのレバノン系銀行から
データを盗むよう設計されている。また、Citibank および PayPal の利用者も標的とされている。
(中略)
Gauss のもう 1 つの重要な機能は、かつて Stuxnet や Flame で行われたように、
LNK の脆弱性を利用して USB メモリを感染させることです。
ただし、その感染プロセスはこれまでのマルウェアより進化しています。
特定の状況下において、Gauss はドライブの「ウイルス駆除」を行ったり、
収集した情報をリムーバルメディア内の隠しファイルに保存したりすることができます。
また、このトロイの木馬プログラムは、「Palida Narrow」と呼ばれるフォントをインストールしますが、
この目的はまだわかっていません。
Gauss は設計面において Flame と似ていますが、地理的な感染範囲については明らかに異なっています。
Flame の主な攻撃対象はイランのコンピューターでしたが、Gauss の攻撃の大半はレバノンで行われています。
また、感染件数も異なります。Kaspersky Security Network(KSN)によるレポートによると、
Gauss は約 2,500 台のPCを感染させたことが分かっています。
一方、Flame による感染PC台数はかなり少なく、約 700 台とされています。
(中略)
Kaspersky Lab のチーフセキュリティエキスパート、
アレキサンダー・ゴスチェフ(Alexander Gostev)は次のようにコメントしています。
「Gauss と Flame とは設計やコードベースに顕著な共通点があり、
そのことがこのマルウェアの発見につながりました。
Flame や Duqu と同様に、Gauss は高度なサイバースパイ型ツールキットであり、
隠密性を重視して設計されています。しかし、その目的は異なります。
Gauss は特定の国々の複数のユーザーを標的として大量のデータを詐取し、
特に銀行や金融関係の情報を狙っています。」
現在、トロイの木馬Gauss は、カスペルスキー製品により、
Trojan-Spy.Win32.Gauss として検知、ブロックされ、データの復旧が行われます。
▽ソース
Kaspersky Lab がオンラインバンキングアカウントを監視する高度なサイバー脅威「Gauss」を新たに発見[20120809]
http://www.kaspersky.co.jp/news?id=207585649
ガウスは、国家主導で開発された複雑なサイバースパイ型ツールキットであり、感染したマシンから、
ブラウザのパスワード、オンラインバンキングのログイン情報、cookie、そして特定の設定データをはじめとした
個人情報を盗むよう設計されています。
Gauss のオンラインバンキングを狙うトロイの木馬機能には、既知のサイバー兵器とは異なる独自の特徴があります。
Gauss は、Flame の発見を受け国際電気通信連合(ITU)が中心となって実施している調査活動の過程で検知されました。
(中略)
Gauss の基本情報:
・Gauss の活動開始時期は 2011 年 9 月であったと分析される。
・マルウェア Flame に関する詳細な調査分析から得られた知識を元に、2012 年 6 月に初めて検知された。
・Flame と Gauss の間に強い類似性と相関関係があったことから発見に至った。
・Gauss の C&C インフラは、発見後まもなくの 2012 年 7 月に閉鎖された。
現在このマルウェアは休止中であり、C&C サーバーがアクティブになるのを待機している状態にある。
・2012 年 5 月終盤以降、Kaspersky Lab のクラウドベースのセキュリティシステムにより、
2,500 件以上もの感染が報告されており、Gauss による被害件数は合計で何万件にも上ると推定される。
これは、Stuxnet の攻撃数より少ないものの、Flame および Duqu よりははるかに多い件数である。
・Gauss は、ブラウザ閲覧履歴、cookie、パスワード、システム構成を含む感染 PC に関する詳細情報を詐取する。
また、さまざまなオンラインバンキングシステムや決済システムのログイン情報も盗むことができる。
・Bank of Beirut、EBLF、BlomBank、ByblosBank、FransaBank、Credit Libanais などのレバノン系銀行から
データを盗むよう設計されている。また、Citibank および PayPal の利用者も標的とされている。
(中略)
Gauss のもう 1 つの重要な機能は、かつて Stuxnet や Flame で行われたように、
LNK の脆弱性を利用して USB メモリを感染させることです。
ただし、その感染プロセスはこれまでのマルウェアより進化しています。
特定の状況下において、Gauss はドライブの「ウイルス駆除」を行ったり、
収集した情報をリムーバルメディア内の隠しファイルに保存したりすることができます。
また、このトロイの木馬プログラムは、「Palida Narrow」と呼ばれるフォントをインストールしますが、
この目的はまだわかっていません。
Gauss は設計面において Flame と似ていますが、地理的な感染範囲については明らかに異なっています。
Flame の主な攻撃対象はイランのコンピューターでしたが、Gauss の攻撃の大半はレバノンで行われています。
また、感染件数も異なります。Kaspersky Security Network(KSN)によるレポートによると、
Gauss は約 2,500 台のPCを感染させたことが分かっています。
一方、Flame による感染PC台数はかなり少なく、約 700 台とされています。
(中略)
Kaspersky Lab のチーフセキュリティエキスパート、
アレキサンダー・ゴスチェフ(Alexander Gostev)は次のようにコメントしています。
「Gauss と Flame とは設計やコードベースに顕著な共通点があり、
そのことがこのマルウェアの発見につながりました。
Flame や Duqu と同様に、Gauss は高度なサイバースパイ型ツールキットであり、
隠密性を重視して設計されています。しかし、その目的は異なります。
Gauss は特定の国々の複数のユーザーを標的として大量のデータを詐取し、
特に銀行や金融関係の情報を狙っています。」
現在、トロイの木馬Gauss は、カスペルスキー製品により、
Trojan-Spy.Win32.Gauss として検知、ブロックされ、データの復旧が行われます。
▽ソース
Kaspersky Lab がオンラインバンキングアカウントを監視する高度なサイバー脅威「Gauss」を新たに発見[20120809]
http://www.kaspersky.co.jp/news?id=207585649
|
|
|
StuxnetやFlameと同郷の新型マルウェア「Gauss」
http://security.slashdot.jp/story/12/08/13/0515234/Stuxnet%E3%82%84Flame%E3%81%A8%E5%90%8C%E9%83%B7%E3%81%AE%E6%96%B0%E5%9E%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%80%8CGauss%E3%80%8D
>イランの核施設を狙ったマルウェア「Stuxnet」や「Flame」と同じ関係者が設計したと思われる新手のスパイツール「Gauss」が見つかった。
http://security.slashdot.jp/story/12/08/13/0515234/Stuxnet%E3%82%84Flame%E3%81%A8%E5%90%8C%E9%83%B7%E3%81%AE%E6%96%B0%E5%9E%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%80%8CGauss%E3%80%8D
>イランの核施設を狙ったマルウェア「Stuxnet」や「Flame」と同じ関係者が設計したと思われる新手のスパイツール「Gauss」が見つかった。
巨大マルウェアって、1GBとかあるの?
4 : 【関電 75.8 %】 :2012/08/13(月) 22:49:32.40 ID:9hudNkCM
アメリカかい?
国家的な技術力を持って開発されたマルウェアってことだろ
6 :sin+sinφ ★:2012/08/13(月) 22:52:04.95 ID:???
参考サイトのリンク
新しいタイプの攻撃「Stuxnet(スタックスネット)」って何だ?
http://j-net21.smrj.go.jp/develop/digital/entry/001-20110413-01.html
-最近の巨大マルウェアの基本が詳しく書かれていました。
イラン核施設へのサイバー攻撃は米とイスラエル ウイルス共同開発
http://sankei.jp.msn.com/world/news/120602/amr1206021
7 :名無しのひみつ:2012/08/13(月) 22:53:31.68 ID:xB5IVREY
メリケンかイスラエルあたりのならず者国家の仕業
8 :sin+sinφ ★:2012/08/13(月) 22:55:16.91 ID:???
9 : 【関電 75.8 %】 :2012/08/13(月) 23:05:08.90 ID:9hudNkCM
どこでチェックできるの? USB刺さなきゃ無問題なの?
10 : 【関電 75.8 %】 :2012/08/13(月) 23:06:12.75 ID:9hudNkCM
とりあえず、自衛隊はわざと感染して嘘情報を大量に送りつけてやれよ
>また、このトロイの木馬プログラムは、「Palida Narrow」と呼ばれるフォントをインストールします
フォント調べてこれがあったらアウトじゃね?
無いから大丈夫ともいえないけどw
フォント調べてこれがあったらアウトじゃね?
無いから大丈夫ともいえないけどw
12 :名無しのひみつ:2012/08/14(火) 00:37:22.65 ID:hQ/aC48U
13 :名無しのひみつ:2012/08/14(火) 00:45:37.38 ID:vF/qqnIe
犬に餌やりしようぜwwww
大天才ガウスの名前をマルウェアにつけるとは
なんたる無礼
なんたる無礼
15 :名無しのひみつ:2012/08/14(火) 07:15:41.65 ID:1heOLdPx
大きく業績を伸ばしたアンチウィルスメーカが関係者の一つだろう。
昔からそうだ、
昔からそうだ、
最近、オーストラリアとロシアからのポートスキャンが頻繁に来てる
毎日来てた中国と韓国が全くなくなった。踏み台国変えてるだけ?
毎日来てた中国と韓国が全くなくなった。踏み台国変えてるだけ?
>>12のURL踏んで平気?