Gauss : le petit nouveau de la famille Flame

Kaspersky a pu récupérer un nouveau ver destiné au cyber-espionnage : Gauss.

Les liens entre Flame et Gauss (qui prend son nom du célèbre mathématicien par rapport aux références laissées par les auteurs du malware) sont avérés : Gauss partage du code en commun avec son grand frère.

On retient surtout deux choses de ce nouveau ver :

  • Il surveille le trafic web de la machine infectée, notamment par le biais d’un plugin Firefox. En particulier il vole les informations qui transitent à destination de sites de banques libanaises)
  • Il contient un payload secret chiffré en RC4. Ce payload se déchiffrera uniquement si certains variables d’environnement ont une valeur prédéfinie qui restent pour le moment un mystère (la clé RC4 correspond à un hash MD5 de ces variables effectué 1000 fois).

On sait donc que le ver cible ses victimes, à priori au Liban mais à l’heure actuelle on ne sait pas si un organisme ou une entreprise particulière est ciblée.

Kaspersky a publié un dossier complet sur la bestiole.

4 réflexions au sujet de « Gauss : le petit nouveau de la famille Flame »

Les commentaires sont fermés.