![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurGauss — ещё один вирус семейства Stuxnet/Duqu/Flame (т.е. спонсируемый правительством) — на этот раз несёт весьма интересную "боеголовку", о которой пишет Лаборатория Касперского:
http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload
"Полезная нагрузка" идёт в зашифрованном виде и расшифровывается на основе ключа, который не является частью вируса, а вместо этого ищется на целевом компьютере. Если пропустить технические детали, ключ состоит из двух частей — одной из строк в переменной окружения PATH; а также из имени папки в Program Files, которая начинается с неанглийской буквы. Как только вирус в процессе своего распространения натыкается на компьютер, где присутствует магическая комбинация "определённая строка в PATH" + "определённая установленная программа", происходит расшифровка и запуск "полезной нагрузки".
Какая комбинация пути и программы открывает этот виртуальный замок, в Лаборатории Касперского пока понять не могут. Все комбинации известных программ и путей для быстрого запуска из командной строки, которые они попробовали, не подходят.
Основная версия, конечно, состоит в том, что целью является какая-то SCADA система по обогащению урана на Ближнем Востоке, или какие-то государственные секреты русских, или что-то ещё в этом роде. Однако некоторые особо упоротые конспирологи считают, что это также может быть канал обратной связи с центром для резидента иностранной разведки на нелегальном положении, канал во-первых зашифрованный, а во-вторых обладающий идеальными характеристиками правдоподобной отказуемости. (Вы просто присваиваете файлу, который нужно отослать, специальное имя, а в случае чего включаете дурачка: "Ой, а что, у меня на ноуте вирус? А я не знал, правда. Я вообще плохо понимаю в компьютерах." Изъяв ноут впоследствии, доказать ничего нельзя, даже нельзя сказать, каким должно быть то самое специальное имя файла, открывающее замок.) По-моему, в этом случае это явно не так, но по крайней мере у правительства и его киберподрядчика нет недостатка свежих идей по поводу "развития платформы".
http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload
"Полезная нагрузка" идёт в зашифрованном виде и расшифровывается на основе ключа, который не является частью вируса, а вместо этого ищется на целевом компьютере. Если пропустить технические детали, ключ состоит из двух частей — одной из строк в переменной окружения PATH; а также из имени папки в Program Files, которая начинается с неанглийской буквы. Как только вирус в процессе своего распространения натыкается на компьютер, где присутствует магическая комбинация "определённая строка в PATH" + "определённая установленная программа", происходит расшифровка и запуск "полезной нагрузки".
Какая комбинация пути и программы открывает этот виртуальный замок, в Лаборатории Касперского пока понять не могут. Все комбинации известных программ и путей для быстрого запуска из командной строки, которые они попробовали, не подходят.
Основная версия, конечно, состоит в том, что целью является какая-то SCADA система по обогащению урана на Ближнем Востоке, или какие-то государственные секреты русских, или что-то ещё в этом роде. Однако некоторые особо упоротые конспирологи считают, что это также может быть канал обратной связи с центром для резидента иностранной разведки на нелегальном положении, канал во-первых зашифрованный, а во-вторых обладающий идеальными характеристиками правдоподобной отказуемости. (Вы просто присваиваете файлу, который нужно отослать, специальное имя, а в случае чего включаете дурачка: "Ой, а что, у меня на ноуте вирус? А я не знал, правда. Я вообще плохо понимаю в компьютерах." Изъяв ноут впоследствии, доказать ничего нельзя, даже нельзя сказать, каким должно быть то самое специальное имя файла, открывающее замок.) По-моему, в этом случае это явно не так, но по крайней мере у правительства и его киберподрядчика нет недостатка свежих идей по поводу "развития платформы".
