Jaunais trojietis, kas nosaukts vācu matemātiķa Johana Kārļa Frīdriha Gausa vārdā, izceļas ar to, ka papildus citām spiegošanas funkcijām tā mērķis ir zagt inficēto datoru lietotāju finanšu informāciju. Gauss slepeni nosūta uz vadības serveriem pārlūkprogrammā ievadītās vai saglabātās paroles, sīkdatnes, kā arī informāciju par inficētās sistēmas konfigurāciju.

Banku trojieša funkciju ietveršana «Gauss» ir unikāls gadījums, kāds agrāk nav bijis sastopams kaitīgo programmatūru klāstā, kuras pieņemts pieskaitīt kiberieroču klasei.

«Gauss» tika konstatēts vērienīgas kampaņas laikā, ko ierosināja Starptautiskā telesakaru savienība (International Telecommunication Union, ITU) pēc «Flame» atklāšanas. Kampaņas vispārējais mērķis ir samazināt ar kiberieroču lietošanu saistīto risku un saglabāt mieru kibertelpā. Izmantojot «Kaspersky Lab» speciālistu profesionālo atbalstu, ITU veic svarīgus vispasaules kiberdrošības nostiprināšanas pasākumus, aktīvi iesaistoties iniciatīvas ITU IMPACT galvenajiem partneriem, valdībām un privātām organizācijām, kā arī pilsoniskajai sabiedrībai.

«Kaspersky Lab» eksperti spēja atklāt «Gauss», jo trojietim piemīt vairākas īpašības, kas to saista ar sarežģīto kaitīgo programmatūru «Flame». Līdzība ir novērojama arhitektūrā, modulārajā uzbūvē, kā arī saziņas veidā ar vadības serveriem

Jauno kaitīgo programmatūru «Kaspersky Lab» atklāja 2012. gada jūnijā. Tās galveno spiegošanas moduli (pagaidām nezināmie) radītāji ir nosaukuši vācu matemātiķa Johana Kārļa Frīdriha Gausa vārdā. Arī citām trojieša datnēm ir doti ievērojamu matemātiķu – Žozefa Luija Lagranža un Kurta Gēdeļa – vārdi. Pētījumā noskaidrojās, ka pirmie inficēšanas gadījumi ar Gauss notikuši 2011. gada septembri, taču kaitīgās programmatūras vadības serveri pārtrauca darbību tikai 2012. gada jūlijā.

«Gauss» daudzie moduļi ir paredzēti pārlūkprogrammā ietvertās informācijas vākšanai, ieskaitot apmeklēto vietņu vēsturi un tiešsaistes pakalpojumos izmantotās paroles. Turklāt uzbrucēji saņēma detalizētu informāciju par inficēto datoru, tostarp par tīkla saskarnēm un atmiņas iekārtām, kā arī BIOS datus. Trojietis «Gauss» var zagt vairāku Libānas banku, piemēram, Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank un Credit Libanais, klientu konfidenciālo informāciju. Piedevām tā mērķis ir Citibank klienti un elektroniskās norēķinu sistēmas PayPal lietotāji.

Vēl viena svarīga «Gauss» iezīme ir USB atmiņas ierīču inficēšana, izmantojot to pašu ievainojamību, kuru izmanto «Stuxnet» un «Flame», taču USB ierīču inficēšana no priekštečiem atšķiras ar noteiktu intelektisko elementu. Piemēram, izmantojot atmiņas ierīci savāktās informācijas glabāšanai slēptā datnē, noteiktos apstākļos «Gauss» var dzēst sevi un visus nozagtos datus. Turklāt trojietim ir raksturīgi, ka tas instalē īpašu fontu «Palida Narrow», taču tā nozīme pagaidām nav skaidra.

Lai gan «Gauss» un «Flame» uzbūvē ir daudz kopīga, to inficēšanas ģeogrāfija ievērojami atšķiras. Visvairāk ar «Flame» inficētu datoru ir Irānā, bet lielākā daļa «Gauss» upuru atrodas Libānā. Arī inficēto datoru skaits manāmi atšķiras. Uzraudzības mākoņsistēmas «Kaspersky Security Network» dati liecina, ka ar «Gauss» ir inficēti aptuveni 2,5 tūkstoši datoru, savukārt «Flame» bija tikai apmēram 700 upuru.

Lai gan precīzais inficēšanas mehānisms vēl nav noskaidrots, eksperti ir pārliecināti, ka «Gauss» izplatīšana notiek pēc scenārija, kas atšķiras no «Flame» vai «Duqu». Tomēr jāatzīmē, ka tāpat kā agrīnākajiem kiberspiegiem, arī trojieša izplatīšanas process tiek stingri kontrolēts, kas liecina par nolūku palikt nepamanītam pēc iespējas ilgāk.

««Gauss» uzbūve un kods ir ļoti līdzīgs «Flame». Būtībā tieši tāpēc mēs varējām to atklāt,» sacīja «Kaspersky Lab» galvenais antivīrusu eksperts Aleksandrs Gostevs. «Tāpat kā «Flame» un «Duqu», arī «Gauss» ir sarežģīta programma, kas paredzēta kiberspiegošanai ar īpašu uzsvaru uz darbības slepenību, tomēr nesen atklātā trojieša mērķi ir pavisam citi: Gauss inficē lietotājus stingri noteiktās valstīs un zog lielus datu apjomus, turklāt to īpaši interesē finanšu informācija.»

Pašlaik Kaspersky Lab sekmīgi atklāj, bloķē un likvidē trojieti. Antivīrusu datubāzē tas ir klasificēts ar nosaukumu «Trojan-Spy.Win32.Gauss».