Na Stuxnet, Duqu en Flame is een nieuw supervirus ontdekt, speciaal ontwikkeld om gegevens te stelen, waaronder voor online bankrekeningen in het Midden-Oosten. Gauss, zoals het Russische anti-virusbedrijf Kaspersky Lab de malware noemt, is gebaseerd op het "Flame" platform en deelt een aantal van de functionaliteiten waarover Flame beschikt. Beide spionagevirussen verspreiden zich via USB-sticks. Net als Flame is Gauss ook modulair en kan daardoor verschillende doelen bereiken.

Voor zover bekend onderschept Gauss browser cookies en wachtwoorden, stuurt de systeemconfiguratie naar de aanvallers door, infecteert USB-sticks met een data-stelende module, steelt inloggegevens voor verschillende banksystemen in het Midden-Oosten en kaapt gegevens voor sociale netwerksites, e-mail en Instant Messaging-accounts.

Welke gegevens werkelijk zijn buitgemaakt is onduidelijk. De Gauss infrastructuur werd uitgeschakeld voordat er een analyse van de besmette systemen kon plaatsvinden. De observaties van Kaspersky Lab zijn volledig gebaseerd op analyse van de code.

Relatie
Gauss werd ontdekt tijdens een doorlopend onderzoek dat door het International Telecommunication Union (ITU) was geïnitieerd. Volgens Kaspersky is het spionagevirus door dezelfde mensen als Flame gemaakt. Gauss zou in augustus of september vorig jaar ontwikkeld zijn. In september 2011 werd het geavanceerde Duqu-virus ontdekt.

"Gauss is gerelateerd aan Flame, Flame is gerelateerd aan Stuxnet, Stuxnet is gerelateerd aan Duqu, dus is Gaus gerelateerd aan Duqu", aldus Kaspersky. In totaal ontdekte het anti-virusbedrijf 2.500 infecties, waarvan de meeste in Libanon en Israël. Vermoedelijk zijn er tienduizenden systemen wereldwijd geïnfecteerd, hoewel de meeste infecties zich in het Midden-Oosten bevinden. Op dit moment zou de malware niet actief zijn en zich in een slaaptoestand bevinden. Net als met Flame is het onduidelijk hoe slachtoffers via Gauss in eerste instantie besmet raken.

USB-sticks
De malware gebruikt het LNK-lek uit 2010 dat ook door Stuxnet en Flame werd toegepast. Het infecteren van USB-sticks zou echter intelligenter en efficiënter plaatsvinden. Zo kan Gauss de stick in bepaalde gevallen ontsmetten en informatie in een verborgen bestand opslaan. Ook installeert Gauss het Palida Narrow font, maar waarom is onbekend.

Er zijn nog geen zero-day exploits ontdekt waardoor Gauss zich zou verspreiden, maar aangezien het infectiemechanisme nog niet bekend is, valt dit niet uit te sluiten. De meeste slachtoffers van de malware draaien Windows 7. Verder ontdekten de onderzoekers een verborgen 'payload' die in bepaalde systeemconfiguraties geactiveerd wordt. Wat hierbij gebeurt en om wat voor systemen het gaat is nog altijd onbekend.

Internetbankieren
Volgens Kaspersky is Gauss mede opmerkelijk omdat dit de eerste "natiestaat" cyberspionagecampagne is waarbij er ook een banking Trojan onderdeel aanwezig is. Het is echter onduidelijk of de makers geld van bankrekeningen halen of alleen maar het saldo van hun slachtoffers willen controleren. Het staat echter vast dat Gauss door een natiestaat is ontwikkeld en uit dezelfde fabriek komt die eerder Stuxnet, Duqu en Flame produceerden.