Gauss-Trojaner spioniert Banktransaktionen aus

Sicherheitsexperten von Kaspersky Lab haben bei der Untersuchung von Flame einen weiteren raffinierten Spionagetrojaner namens Gauss entdeckt. Nach bisherigen Kenntnissen handelt es sich um einen speziell angepassten Abkömmling des Mitte Mai bekannt gewordenen Supertrojaners Flame. Nach Angaben des Sicherheitsunternehmens besitzt er die „typischen Charakteristiken eines Onlinebanking-Trojaners“. Aufgrund der Ähnlichkeit mit dem als Wunderwaffe bezeichneten Trojaner Flame gehen die Experten davon aus, dass Gauss ebenfalls Teil eines großangelegten staatlichen Cyberangriffs ist. Hier steht weiterhin die USA und Israel unter bislang nicht bestätigtem Verdacht.

Gauss, der nach einem deutschen Mathematiker benannt wurde, soll bereits 10.000 Rechner vor allem im Nahen Osten befallen haben. Auf einer Web-Konferenz des Sicherheitsunternehmens berichtete Vitaly Kamluk allein im Juni und Juli von etwa 2.500 aufgedeckten Infektionen im Libanon, in Israel und den palästinensischen Gebieten. Vereinzelt wurde er aber auch in Deutschland gesichtet. Zu den betroffenen Banken gehören die Bank of Beirut, Libano-Française (EBLF), Blom Bank, Byblos Bank, Credit Libanais, Fransabank. sowie der Online-Zahlungsdienst PayPal und die City-Bank.

Der vom Kaspersky-Virenscanner als Trojan-Spy.Win32.Gauss identifizierte Schädling hat es gezielt auf das Ausspähen von Bank-Transaktionen abgesehen. Daneben liest er sämtliche Laufwerke, Verzeichnisse sowie Zugangsdaten und persönliche Cookies aus. Außerdem installiert der neue Supertrojaner einen eigenen Font. Bisher ist allerdings unklar, welche Aufgabe der Font „Palida Narrow“ erfüllt.

Gauss greift ausschließlich Windows-Computer an und sendet die dort gestohlenen Daten an einen von Kaspersky Lab nicht näher bezeichneten Server. Die Angreifer schleusen den Schädling über USB-Sticks ein und legen die erbeuteten Daten anschließend in einer Datei des Sticks ab. Dabei benutzt er dieselbe Sicherheitslücke wie zuvor schon die Spionagetrojaner Flame und Stuxnet.

Brisanterweise zerstört sich Gauss nach 30 Aufrufen durch einen USB-Stick automatisch selbst. Dadurch kann er im Nachhinein nicht durch Virenschutzprogramme identifiziert werden. Die Sicherheitsexperten gehen davon aus, dass der Schädling bereits seit November 2011 aktiv ist. Nachdem ihn die Sicherheitsexperten im Juni dieses Jahres als Trojaner klassifiziert haben, machten die Angreifer im Juli einen Rückzieher und schalteten den Steuerungs-Server ab. Seitdem ist der Trojaner auf den infizierten Rechnern inaktiv.