Cómo detectar y limpiar el troyano Gauss de tu ordenador si estás infectado


Acaba de descubrirse por parte de Kaspersky Lab el troyano denominado Gauss, una nueva ciberamenaza cuyo objetivo son usuarios de Oriente Medio para llevar a cabo labores de ciberespionaje y robo de datos confidenciales, con especial foco en contraseñas del navegador, credenciales de cuentas bancarias online, cookies y configuraciones específicas de los equipos infectados. La clave está en la instalación de la fuente Pálida Narrow y puede comprobarse si tu equipo está infectado desde esta url http 95.211.172.144 gauss/ La herramienta gratuita Kaspersky Removal Tool limpia los dispositivos infectados.

Casacochecurro.com La principal inquietud surgida tras el hallazgo es si existe alguna forma sencilla para que los usuarios puedan comprobar si sus equipos están infectados. Las soluciones antivirus de Kaspersky Lab detectan el virus, pero para los que no se puedan descargar el paquete antivirus completo. Para detectarlo, Crysis, un laboratorio de investigación húngaro ha creado un método vía web para revisar los sistemas con Pálida Narrow, ya que el troyano instala esa fuente en los equipos infectados.

Ahora, basado en esa misma idea Kaspersky Lab ha mejorado el método con una herramienta de detección que no necesita la intervención del servidor. Se trata de una ventana iframe que contiene el código javascript para verificar si la misteriosa fuente está instalada y limitar su acceso. Todavía no está claro el motivo que lleva a los ciberdelincuentes a instalar esa fuente, pero su detección puede indicar la presencia de actividad de Gauss en el sistema.

Para eliminar Gauss de tu eqiupo si estás infectado se puede con la herramienta gratuita Kaspersky Removal Tool: https support.kaspersky com/viruses/avptool2011?level=2

Todo sobre Gauss
Gauss es una nueva ciberamenaza que monitoriza cuentas bancarias online y que ya ha actuado en Oriente Medio y el número total estimado de víctimas alcanza decenas de miles de personas. Gauss se ha diseñado para robar datos de varios bancos libaneses. Además, también está dirigida a usuarios de Citibank y PayPal.

Gauss es un conjunto de complejas herramientas creadas por un Estado para llevar a cabo labores de ciberespionaje y robo de datos confidenciales, con especial foco en contraseñas del navegador, credenciales de cuentas bancarias online, cookies y configuraciones específicas de los equipos infectados. La funcionalidad del troyano bancario Gauss tiene características únicas que no se encuentran en ninguna otra ciberarma descubierta anteriormente.

Gauss fue descubierto tras detectar Flame, durante una investigación iniciada por la agencia de Naciones Unidas para la Información y la Comunicación Tecnológica (ITU), dirigida a mitigar los riesgos derivados de las ciberarmas, lo cual es un componente clave en la consecución de un objetivo global en materia de paz.

Principales decubrimientos
Expertos de Kaspersky Lab descubrieron Gauss mediante la identificación de puntos en común con otros programas maliciosos como Flame, ya que incluye plataformas de arquitectura, estructuras modulares, códigos de base y sistemas de comunicación con los servidores de comando y control (C&C) similares.

● El análisis de Gauss indica que inició sus operaciones en septiembre de 2011.

● Se descubrió por primera vez en junio de 2012, como resultado del profundo análisis e investigación de Flame, gracias a las fuertes semejanzas entre ambos.

● La infraestructura C&C de Gauss se cerró en julio de 2012, poco después de su descubrimiento. Actualmente, el software malicioso se encuentra en estado latente, en espera de un servidor C&C para reactivarse.

● Desde finales de mayo de 2012, se han registrado más de 2.500 infecciones desde el sistema de seguridad de Kaspersky Lab basado en la nube, por lo que el número total estimado de víctimas de Gauss probablemente alcance decenas de miles de personas. Este número es menor en comparación con Stuxnet, pero es significativamente mayor que el de ataques de Flame y Duqu.

● Gauss roba información detallada de equipos infectados, incluyendo el historial del navegador, cookies, contraseñas y configuraciones del sistema. También es capaz de robar credenciales de acceso para los distintos sistemas de banca online y métodos de pago.

● El análisis de Gauss indica que fue diseñado para robar datos de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. Además, está dirigido a usuarios de Citibank y de PayPal.

La investigación reveló que los primeros ataques de Gauss datan de septiembre de 2011 y en julio de 2012, sus servidores dejaron de funcionar. Varios módulos de Gauss servían para recolectar información de los navegadores, incluyendo el historial de sitios web visitados y las contraseñas. Los datos sobre el equipo infectado se enviaban a los atacantes, incluyendo detalles de las interfaces de red, discos informáticos y la información del BIOS.

El módulo de Gauss es también capaz de robar datos de clientes de varios bancos libaneses, incluido el Banco de Beirut, EBLF, BlomBank, ByblosBank, FRANSABANK y Credit Libanais. También apunta a usuarios de Citibank y PayPal.

Otra característica fundamental de Gauss es su capacidad para infectar memorias USB, utilizando la vulnerabilidad LNK, la misma que se utilizó anteriormente en Stuxnet y Flame. Sin embargo, el proceso de infección de memorias USB es más inteligente ya que Gauss es capaz de «desinfectar» la unidad en ciertas circunstancias y utilizar estos dispositivos extraíbles para almacenar la información recopilada en un archivo oculto.

La fuente Palida Narrow a través de la cual se infecta el troyano Gauss.Otra peculiaridad del troyano es su capacidad para instalar una fuente especial que se llama Palida Narrow (en imagen), aunque la intención de esta acción aún se desconoce. Aunque Gauss es similar a Flame en su diseño, la geografía de las infecciones es sensiblemente diferente. La mayoría de los ordenadores afectados por Flame se registraron en Irán y los de Gauss se encuentran en el Líbano. El número de infecciones también es diferente. Según las bases de Kaspersky Security Network (KSN), Gauss lleva infectadas alrededor de 2.500 equipos. En comparación, Flame fue significativamente menor, infectando unos 700.

Alexander Gostev, Director Experto en Seguridad de Kaspersky Lab, comenta: «Gauss contiene semejanzas sorprendentes con Flame, como su diseño y base de código, lo que nos ha permitido descubrir el programa malicioso. Al igual que Flame y Duqu, Gauss es un complejo conjunto de herramientas de ciberespionaje, que pone especial atención en operar con sigilo y en secreto. Sin embargo, su propósito es diferente, ya que Gauss se dirige a múltiples usuarios en países seleccionados con la finalidad de robar grandes cantidades de datos, con un enfoque específico en información bancaria y financiera».

Si quieres leer más noticias como Cómo detectar y limpiar el troyano Gauss de tu ordenador si estás infectado, te recomendamos que entres en la categoría de Ocio - Tecnología.


AUTOR
gravatar
Javi Navarro es periodista y el creador de CasaCocheCurro.com, un diario con información interesante que publica noticias prácticas para que les saques provecho en tu día a día. Puedes consultar cualquier duda contactando con Javi Navarro en su correo javi@casacochecurro.com. También puedes saber un poco más de su trayectoria profesional como periodista si echas un vistazo a su perfil en LinkedIn.
Logo Red Social

WhatsApp Casacochecurro


MÁS NOTICIAS INTERESANTES



Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí

ACEPTAR
Aviso de cookies