Újabb darabbal bővült a kifinomult káros szoftverhez, a Stuxnethez köthető kártékony szoftverek palettája. A Stuxnet, a Duqu és a Flame (aka Flamer) mellett az új trójait Gauss névre keresztelték. Az orosz antivírus gyártó, a Kaspersky Lab egyik szakembere részletes elemzést és leírást közölt arról, hogy miként illeszkedik az új darab a családba és milyen hasonlóságok fedezhetőek fel az elődökkel. A Gauss-t vélhetően 2011 közepe táján készíthették és valamikor 2011 szeptembere környékén kezdhette meg a működését.

A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) nemzetközi kapcsolatrendszerén keresztül egy új, a Stuxnet „családba” tartozó káros szoftverre hívja fel a figyelmet. A jelentés szerint a ”Gauss” névre keresztelt vírus elsősorban banki és egyéb hozzáférési adatokat gyűjt a fertőzött rendszerből, majd továbbítja azokat a Command and Control (C&C) szerverek felé. Egy biztonsági cég szerint a Gauss jelenleg elsősorban Libanonban, Izraelben és a Palesztin területeken aktív, de az Egyesült Államokból is jelentettek fertőzést. A káros szoftverről készült első elemzések és jelentések szerint nincs bizonyíték arra, hogy ipari vezérlő rendszereket (ICS) vagy az Egyesült Államok kormányügynökségeit célozná. A Kaspersky Lab által összegyűjtött információ szerint a Gauss különböző modulokat használ és a következő funkcionalitásokkal bír:

Izgalmas hét mögött állnak a Stuxnet féreg "fiaként" is emlegetett kiberkémkedésre készített Duqu káros szoftvert vizsgálatával foglalkozó fejlesztők. Nemrég a Kaspersky Lab kutatói tárták a nagyvilág elé felfedezésüket, amely szerint a Duqu keretrendszer a C nyelv egy régimódi, objektum orientált egyedi verziójával készült, ugyanakkor a féreg bizonyos részét, egészen pontosan azt, amely a C&C szerverekkel való rejtett kommunikációért felel, egy a kutatók számára ismeretlen programnyelven írták. Nem sokkal később a Symantec kutató is bejelentették, rábukkantak a Duqu egy eddig ismeretlen új verziójára. A Symantec által beszerzett káros szoftver minta ugyan nem tartalmazza a kártevő által használt teljes kódot, de a kulcs komponens, amely a fertőzésért és a kártevő teljes betöltéséért fele, a kutatók rendelkezésére áll.

A Kaspersky Lab kutatói, miután nem tudták megfejteni, hogy a trójai és a C&C szerverek közötti titkos kommunikációért felelő kód milyen nyelven íródott, a blogjukon a közösséghez fordultak segítségért. Több mint 200 hozzászólással és 60 e-mail üzenettel később, megvan a megfejtés. A kérdéses rész kódját C-ben, pontosabban annak egy objektum orientált verziójában: OO C-ben, írták és a Microsoft Visual Studio Compiler 2008 segítségével, bizonyos paraméterekkel fordították le.

A Stuxnet féreghez kísértetiesen hasonlító Duqu trójai továbbra is fejtörést okoz a biztonsági közösségnek. A káros szoftver felbukkanása óta tartó vizsgálatok legújabb felfedezése, hogy a káros szoftver payload-jának bizonyos részeit egy nem meghatározható programnyelven írták. A Kaspersky Lab kutatói sikeresen feltárták a szoftver belső programstruktúráját, melynek nagy része C++ nyelven íródott, azonban a Payload.dll-en belül található kód egy része, amely vélhetően a trójai és a C&C szerverek közötti titkos kommunikációért felel, a kutatók számára ismeretlen programnyelven íródott.

A Kaspersky Lab kutatói állítják megtalálták a bizonyítékot arra, amit már korábban is sejteni lehetett, hogy a majd 2 évvel ezelőtt felbukkant, az iráni atomprogram szabotálására készített féreg, a Stuxnet és az idei Duqu vírus készítője ugyanaz a csoport vagy személy. A szakemberek továbbá arra is figyelmeztettek, hogy a kifinomul férgeknek 3 új, eddig ismeretlen variánsa keringhet a világhálón.

A Microsoft a megszokott módon a hónap második keddjén kiadta soron következő frissítési csomagját, amely összesen 13, köztük 3 kritikus hibajavítást is tartalmaz. A kritikus hibák a Windows Media, illetve a Windows kernel-mode drivereket érintk. A cég a tervek szerint a decemberi patch kedden 14 hibajavítást tesz elérhetővé, bár az illetékesek elmondták, 1 tervezett javítással még kompatibilitási gondok vannak és ezt visszatarthatják, a hiba elhárításáig.

Az Európai Hálózat- és Információbiztonsági Ügynökség (European Network and Information Security Agency - ENISA) tegnap kiadott egy jelentést a DuQu káros szoftverről. A tájékoztató jellegű elemzés DuQu-ról megerősíti azt, a hasonlóságok kapcsán már korábban is felmerült feltételezést, amely szerint a DuQu készítőinek vagy hozzáférése volt Stuxnet forráskódjához, vagy maguk az iráni atomprogram szabotálására tervezett Stuxnet féreg készítői fejlesztették az új variánst is.

A kiber-háborús szakértő, John Bumgarner, állítja, hogy a Stuxnet és a Duqu már jóval a "felfedezésük" előtt aktívan működtek, az ő véleménye szerint már 2006 óta megtalálhatóak voltak bizonyos formákban.

A Kaspersky Labs biztonsági cég szakemberei több elemzést is készítettek az idén nyilvánosságra került, vélhetően a Stuxnethez hasonlóan az iráni atomprogramot célzó Duqu féregvírusról. Íme néhány eddig ismeretlen érdekesség: