קפסרסקי פרסמה ביום חמישי (9 באוגוסט) על גילוי של malware נוסף שככה"נ פותח על-ידי מדינה, אותה אחת שפיתחה את ה-Flame (אשכול בנושא: http://www.fresh.co.il/vBulletin/sh...ad.php?t=564050). הוא נמצא במסגרת יוזמה של איגוד הטלקומוניקציה הבינלאומי (ITU) שהחלא לאחר גילוי ה-Flame. מאפיין ייחודי של Gauss בתוך עולם ה-malware שמייחסים למדינות הוא איסוף נתונים הקשורים לבנקאות מקוונת (מספרי חשבונות, ססמות, וכו').

קפסרסקי זיהו מאפיינים משותפים לגאוס ול-Flame, הכוללים מבנה מודולרים, תשתית קוד ותקשורת עם שרתי ה-C&C.

"עובדות מהירות":

• החל לפעול בסביבות ספטמבר 2011
• התגלה ביוני 2012 הודות למידע שהגיע מניתוח של ה-Flame
• הגילוי התאפשר הודות לדמיון רב בין ה-Flame לגאוס.
• מערכת שרתי ה-C&C של גאוס נסגרה ביולי 2012, זמן קצר לאחר גילויה. כרגע גאוס נמצא במצב 'רדום', ומחכה לחזרה לפעילות של שרתי C&C.
• מאז מאי 2012 מעבדות קספרסקי זיהו יותר מ-2500 הבדקות, והם מעריכים שמספר ההדבקות הכולל הוא עשרות אלפים. זה מספר קטן ביחס לסטוקסנט, אך גדול משמעותית ביחד ל-Flame (אשכול בנושא: http://www.fresh.co.il/vBulletin/sh...ad.php?t=564050) ולדוקו (http://www.fresh.co.il/vBulletin/sh...ad.php?t=554201).
• גאוס אוגר מידע בנוגע שכולל היסטוריית גלישה, עוגיות, ססמאות, הגדרות מערכת ונתוני גישה (ססמות) לבנקים ושירותים פיננסים מקוונים.
• ניתוח מלמד שגאוס תוכנן 'לגנוב' מידע של בנקים לבנוניים, הכוללים את הבאים: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais, וכן סיטיבנק ו-PayPal.

המודול הראשי נקרא גאוס, ומודולים אחרים מכונים על שם מתמטיקאים מפורסמים אחרים כמו לגראנז' וגדל.


גאוס מסוגל להדביק DoK-ים באמצעות חולשת ה-LNK שנעשה בה שימוש בסטוקסנט וב-Flame. באופן מעניין גאוס מסוגל גם לנקות את ההדבק מ-DoK-ים בתנאים מסוימים. בנוסף, הוא מתקין על המערכות המודבקות פונט בשם Palida Narrow שמטרתו עדיין אינה ידועה... (*טם טם טם*)





ההודעה לעיתונות: http://www.kaspersky.com/about/news...king_A ccounts
(זה היה תרגום של קטעים נבחרים ממנה)

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

לקח להם מספר ימים, אבל בסופו של דבר הם עלו על הידיעה. לא שהם טרחו לעשות איתה הרבה...

מעבדות קספרסקי: מצאנו וירוס-על חדש במזה"ת - מכונה "גאוס"

פורסם: 09.08.12, 16:21


מעבדת קספרסקי המתמחה בהגנה מפני וירוסים במערכות מחשב הודיעה כי איתרה וירוס-על חדש במזרח התיכון,
המסוגל לרגל אחר עסקאות כלכליות, דואר אלקטרוני ופעילות ברשתות חברתיות.

לפי הודעת קספרסקי הווירוס החדש, המכונה "גאוס", מסוגל לתקוף גם מערכות תשתית וכי נראה כי הוא נוצר באותה
המעבדה בה נוצרו וירוס-העל "סטוקסנט", "דוקו" ו-"Flame". הווירוס "סטוקסנט" גרם נזק נרחב לתוכנית הגרעין
האיראנית. הווירוס החדש נמצא במחשבים בלבנון, בישראל וברשות הפלסטינית ולדברי מדעני קספרסקי סביר להניח
שהוא נכתב עבור מדינה כלשהי.

(רויטרס)


מקור: http://www.ynet.co.il/articles/0,7340,L-4266713,00.html



אני לא שמתי לב לביטוי "וירוס על" בהודעה של קספרסקי. האם זה אומר שהוא לובש את התחתונים מעל למכנסיים?...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

כתבה נוספת של YNET:
http://www.ynet.co.il/articles/0,7340,L-4266719,00.html

עם הרבה יותר מלל אבל מעט יותר תוכן...

וירוס "גאוס": האיום המקוון החדש נחשף

נעמה ארטשיק
עדכון אחרון: 19:27 , 10/08/2012

שלושה חודשים אחרי שנחשפנו לווירוס ה"פליים" שפגע במאות מחשבים בישראל ובמדינות ערב, מגיעה
הגרסא המשופרת שלו - ה"גאוס". חברת האבטחה הבינלאומית "קספרסקי" חשפה אתמול את קיומו של
הווירוס החדש, שגונב, בין היתר, מידע פיננסי חסוי מלקוחות בנקים. על פי ההערכות, "גאוס" כבר הספיק
לפגוע בכמעט 3,000 מחשבים

אחרי שהוכח הקשר בין וירוס העל פליים שנחשף במחשבים במזרח התיכון לפני שלושה חודשים, לוירוס המיתולוגי
סטוקסנט שפגע במערכות הגרעין של איראן, מגיע דור ההמשך: "גאוס" הוא האיום המקוון החדש שחשפה אתמול
חברת האבטחה קספרסקי ונמצא באלפי מחשבים בישראל, לבנון וברשות הפלסטינית.

"הדמיון לפליים נובע ממספר מנגנונים שדומים בצורה מסוימת למה שהיה בפליים - ומכאן המסקנה שיש קשר בין
שתי הנוסחות", הסביר נועם פרוימוביץ' נציג קספרסקי בארץ. המבנה הדומה של שני הוירוסים הוא לא הדמיון היחיד:
פליים התבררה כתוכנת ריגול מתוחכמת במיוחד, וגאוס לא נופלת ממנו. הווירוס החדש מתמחה בהשגת מידע פיננסי
חסוי מלקוחות של בנקים, ופועל בשיטת הדבקה משופרת משל קודמו.

סטפן טנסה, אחד מהחוקרים הבכירים של קספרסקי במוסקבה שהשתתף בגילוי, מסביר כי למעשה, חוקרי החברה
ברוסיה גילו את גאוס בעת חקירת מרכיביו של פליים. "כשחיפשנו את מרכיביו של פליים כדי למצוא מודלים דומים
גילינו בטעות תוכנה חדשה לגמרי, שפגעה בעיקר בלבנון", סיפר טנסה, והזכיר שפליים פגעה בעיקר במחשבים באיראן.


המשך הידיעה: http://glz.co.il/NewsArticle.aspx?newsid=110947




הו, זו הגרסה המשופרת? מה השיפור בה לעומת ה-Flame? אז עוקבים קצת אחרי בנקים ויודעים לעשות disinfect
ל-DoK-ים. מרגש. עוד משהו? עכשיו בואו נסתכל על כל מה שאין בה לעומת ה-Flame...

הוא "פועל בשיטת הדבקה משופרת משל קודמו"? הא, באמת? קספרסקי כתבו (בלינקים למטה) שהם לא יודעים
עדיין מהי שיטת ההדבקה והאם יש חולשות בלתי-מוכרות בגאוס. אבל גל"צ והארטישוקים בטח יודעים...

"פגעה בעיקר בלבנון"? זה נכון, אבל יש כאלה שאומרים שחצי-אמת גרועה משקר. מי נמצא במקום השני והשלישי
מבחינת הדבקות? רמז, דרומה מלבנון...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

"וירוס חדש תוקף מחשבים במזה"ת"

חברת אבטחת המחשבים "קספרסקי" הודיעה כי חשפה וירוס מחשבים חדש בשם "גאוס", המסוגל
לפגוע בחומרת המחשב, ואף לראות ולהשפיע על העברות כספיות, הודעות מייל ופעילות ברשתות
החברתיות. על פי פרסומים בסוכנות הידיעות רויטרס הווירוס נוצר על ידי מפתחי תולעת המחשבים
סטוקסנט

חדשות 2 | חדשות 2 | פורסם 09/08/12 17:34

"פליים" - הדור הבא? מומחית אבטחת המחשבים העולמית "קספרסקי" הודיעה היום כי הצליחה לחשוף
תוכנה זדונית חדשה במזרח התיכון, המסוגלת לזהות ולדווח על העברות כספיות, הודעות דואר אלקטרוני
ופעילויות ברשתות החברתיות.

הווירוס, שנקרא גאוס, יכול ככל הנראה גם לתקוף את חומרת המחשב - ועל פי הפרסומים בסוכנות הידיעות
רויטרס - הוא נוצר על ידי מפתחי תולעת המחשבים סטוקסנט, שלפי פרסומים זרים פותחה על ידי מומחים
ישראלים ואמריקנים, זאת כדי לפגוע בתכנית הגרעין האירנית.

חברת "קספרסקי", הפועלת ממקום מושבה שבמוסקבה, טוענת כי התוכנה הזדונית נמצאה במחשבים
אישיים בלבנון, ישראל ושטחי הרשות הפלסטינית - אותם אזורים שהיו לבתי הגידול של הווירוסים הקודמים,
פליים ודוג'ו. "אחרי שבדקנו את התולעים הקודמות, אנו יכולים להגיד - במידה רבה של ודאות - שהווירוס
הנוכחי, גאוס, מגיע מאותו בית יוצר", נמסר מחברת האבטחה. "כל המתקפות הללו מייצגות את הדגש של
ריגול קיברנטי המשמש למלחמות ריגול", הוסיפו.



מקור: http://www.mako.co.il/digital-inter...8cb0931017.htm1





"לפגוע בחומרת המחשב"? תאורטית כל תוכנה יכולה לפגוע בחומרה המחשב בתנאים מסוימים. משהו
שמייחד את גאוס בהקשר הזה לא ראיתי. אולי הכתב "חדשות 2" התקשה מעט בהעתקה מרויטרס. זה
גם יסביר מאיפה "דוג'ו" הגיע לפה...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

וירוס חדש במזה"ת: "פיתוח של מדינה"

מומחי מעבדת קספרסקי אשר גילו את "פליים" זיהו וירוס חדש העונה לשם
"גאוס", אשר נועד לפגוע בפעילות פיננסית מקוונת ולגנוב מידע

סוכנויות הידיעות | 9/8/2012 17:30

מומחי אבטחת המחשבים של מעבדת קספרסקי הודיעו היום (ה') על גילוי של וירוס חדש שכבר
זכה לשם "גאוס". לדבריהם, גם הפעם מדובר בווירוס המהווה איום קיברנטי על משתמשים
במזרח התיכון.

אחרי סערת הווירוס פליים, שנטען כי פותח על ידי ישראל וארצות הברית במטרה לחבל ברשתות
המחשבים של איראן ולפגוע בתוכנית הגרעין שלה – היום נודע על הווירוס החדש. לפי המומחים
של קספרסקי שזיהתה את "פליים", גם "גאוס" הוא וירוס מורכב שמאחורי פיתוחו ככל הנראה
עומדת מדינה.

עוד נטען כי מדובר בתוכנת ריגול שנועדה לגנוב מידע רגיש, בדגש על סיסמאות לאתרים,
חשבונות בנק ושיבוש מערכות ממוחשבות. לפי קספרסקי, הפעילות הטרויאנית של "גאוס"
שנועדה לפגוע בתחום הבנקאות המקוונת היא ייחודית ולא נמצאה בווירוסים קודמים.

הווירוס יכול לפגוע בצורה קריטית בתשתיות חשובות, והוא נבנה באותן מעבדות כמו הווירוס
סטוקסנט. "ניתן לומר ברמה גבוהה של ודאות שגאוס נוצר על ידי אותם מקורות שייצרו את
הווירוסים הקודמים", אמרו בקספרסקי.

בחודש מאי גילו במעבדת קפרסקי הווירוס "פליים", מומחים לאבטחת מחשבים הודיעו כי הם זיהו
את התוכנה הזדונית שהשפיעה על מחשבים באיראן ובמדינות נוספות במזרח התיכון, ואשר ככל
הנראה היא חלק מהמתקפה המתואמת שבין השאר גרמה לפגיעה קשה במתקני הגרעין של
הרפובליקה האיסלאמית לפני כשנתיים.

ממעבדת קספרסקי הרוסית, אחד המוסדות המובילים בעולם לאבטחת מחשבים, נמסר כי התוכנה
"פליים" (להבה) פגעה ב-189 מערכות מחשבים באיראן, ב-32 מחשבים בסוריה, ב-18 מחשבים
בלבנון, ובמחשבים ברשות הפלסטינית, בסודן ובמדינות נוספות במשך שנתיים לפחות.

התולעת התגלתה לפני כשבועיים, אחרי שאיגוד התקשורת הבינלאומי של האו"ם ביקש מאנשי
המעבדה לבחון את הדיווחים כי מחשבים של משרד הנפט האיראני וחברת הנפט הלאומית של
איראן נפרצו ומידע נגנב או נמחק מהמערכות.

בדיקות גילו כי התוכנה, שמגיעה למשקל כולל של 20 מגה-בייט, נועדה לרגל אחרי המשתמשים של
המחשבים שנפגעו ולגנוב מהם מידע, כולל שיחות מוקלטות, מסמכים, והקלטה של הקשות על לחצני
המקלדת. היא גם פותחת דלת אחורית במחשבים כדי לאפשר לתוקפים להוסיף פונקציות חדשות.


מקור: http://www.nrg.co.il/online/1/ART2/393/983.html





NRG מגדילים לעשות, ומכינים לנו סלט נפלא. הם כותבים כי:

התולעת התגלתה לפני כשבועיים, אחרי שאיגוד התקשורת הבינלאומי של האו"ם ביקש
מאנשי המעבדה לבחון את הדיווחים כי מחשבים של משרד הנפט האיראני וחברת הנפט
הלאומית של איראן נפרצו ומידע נגנב או נמחק מהמערכות.

אבל כפי שכתבתי למעלה: ה-malware המכונה גאוס התגלה ביוני. יוני היה לפני יותר משבועיים.
משמעותית יותר. הדבר שגילו בזמן הקרוב ביותר ללפני-שבועיים הוא ה"מהדי" (אשכול בפורום),
שככה"נ אינו קשור בשום צורה לחבורה הנ"ל. Flame אכן התגלתה עם פניה של ITU לקספרסקי
שמקורה בבעיות שהיו למשרד הנפט האיראני (שנפגע הן על ידי Flame והן על ידי וירוס אחר).

בנוסף, כתב NRG הנודע "סוכנויות הידיעות" טוען כי "הווירוס יכול לפגוע בצורה קריטית בתשתיות
חשובות", שזה נכון. בערך. אם מסתכלים על זה בצורה מאוד מעוותת. גאוס, כמו כל malware
לא-מטומטם-לגמרי אחר מאפשר למפעילים להריץ קוד על המחשבים הנגועים. זה אומר שהוא
מאפשר להם לעשות כל דבר. כולל, לדוגמה, להתקין עליהם סטוקסנט (שלכאורה, ככה"נ, אולי
באמת משמש לפגיעה בתשתיות, אפילו שאני לא בטוח עד כמה הסרכזות הן קריטיות לאיראן...).

עם זאת, לא פורסם שגאוס מכיל של פיצ'ר ספציפי שמאפשר "לפגוע בצורה קריטית בתשתיות
חשובות". הוא מאפשר זאת באותה מידה ש-NetBus מאפשר זאת...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

מומחים: התגלה וירוס חדש של יוצרי Flame בלבנון, ברשות וישראל

קספרסקי הודיעה כי הווירוס החדש, שמכונה גאוס, שימש לריגול; על פי דיווחים בתקשורת הזרה, מאחורי
הווירוסים עומדות ארה"ב וישראל

עודד ירון | 09.08.2012 | 17:04

חברת האבטחה קספרסקי הודיעה כי מצאה וירוס חדש שפגע בלבנון, ישראל והרשות הפלסטינית. לדברי החברה, הווירוס החדש,
המכונה Gauss, נועד לריגול, ויש קווי דמיון רבים בינו לבין הווירוס Flame, שגילויו עורר סערה מוקדם יותר השנה. לדעת חוקרי
החברה, מדובר בווירוס חדש המבוסס על הפלטפורמה של Flame. בעבר קבעה החברה גם כי יש קשר ברור בין פליים, סטוקסנט
ודוקו, הווירוסים שפגעו בתוכנית הגרעין האיראנית. כלומר, גאוס הוא עוד חולייה בשרשרת של כלי תקיפה וריגול שפותחו בידי מדינה,
או מספר מדינות.

איראן וגורמים נוספים האשימו לא אחת את ישראל וארה"ב באחריות למערכה המנוהלת נגד תוכנית הגרעין שלה וגם נגד מערכות
נוספת במדינה. על פי הערכות, פליים הביא למחיקת קבצים ולשיבושים במסופי נפט ובמשרדי ממשלה באיראן. בחודשים האחרונים
הודו לראשונה שר הביטחון אהוד ברק וגורמים נוספים במערכת הביטחון כי הפעילות בתחום הסייבר לא נועדה רק להגנה אלא גם
לתקיפה.

על פי הערכות שונות, הווירוס פליים, שהתגלה לאחר Stuxnet ו-Duqu, שימש לריגול ולתקיפה של מערכות מחשב באיראן. בתחילה
האמינו חוקרים כי הוא נועד לריגול, אבל לאחר בדיקות רבות, גילתה חברת סימנטק כי הווירוס הענק כלל בין היתר כלים שאפשרו
למחוק קבצים ולהביא להשבתת תוכנות.

לדברי קספרסקי, גאוס פותח ב-2012-2011 והופץ באופן פעיל במזרח התיכון בעשרת החודשים האחרונים. רוב המחשבים המודבקים
נמצאו בלבנון (1,660) הבאה בתור היא ישראל עם 483 מחשבים שבהם התגלה הווירוס, ולבסוף הרשות הפלסטינית (261). בנוסף
התגלו מחשבים בודדים במצרים, קטאר, סוריה, ירדן וסעודיה. בארה"ב התגלו 43 מחשבים נגועים ובגרמניה חמישה. הווירוס פגע
מערכות הפעלה חלונות של מיקרוסופט, מחלונות 7 ועד XP.

לדברי החברה, גאוס נוהג להזריק קוד לדפדפנים שונים כדי לעקוב אחרי פעילות המשתמשים ולגנוב סיסמאות, קובצי קוקיז, והיסטוריית
דפדפן. כמו כן, הוא אוסף מידע על חיבורי הרשת של המחשב, על התקני אחסון ניידים (כונני USB). את המידע הוא שולח לשרתי
השליטה של הווירוס.


מקור: http://www.haaretz.co.il/captain/software/1.1797953





לזכותם של 'הארץ', חשוב לציין שהם טרחו לציין כמה מחשבים נגועים נמצאו במדינות מלבד לבנון, ואף כתבו את מספר המחשבים
שנמצא בכל מדינה. באופן מצער, הם חוזרים על הגילוי של "חברת סימנטק כי הווירוס הענק כלל בין היתר כלים שאפשרו למחוק
קבצים ולהביא להשבתת תוכנות"...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

קישורים נוספים:

• http://news.nana10.co.il/Article/?ArticleID=917512
• http://www.news1.co.il/Archive/001-D-306689-00.html
• http://technation.themarker.com/hitech/1.1797932

הנ"ל הן ידיעות קצרות למדי שאין בהן הרבה מידע, וכנראה שבזכות זה גם אם אין שם טעויות גסות.

כתבות באנגלית

תחת הענף הזה יהיו קישורים לא מביכים ומטופשים...

בינתיים:

• קספרסקי
  • Gauss: Nation-state cyber-surveillance meets banking Trojan
  • Online detection of Gauss
  • Gauss: Abnormal Distribution (יותר ארוך וטכני מהאחרים, זמין גם בפורמט PDF)
• CrySyS (זכורים מהפרשיות הקודמות)
  • On the Palida Narrow mystery of Gauss malware, and possible remote detection
  • Palida Narrow vs. Lucida Bright

סיכום ותרגום אולי אח"כ.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.