Kaspersky, dat onlangs het Gauss-virus ontdekte, heeft de hulp van derden ingeroepen om de encryptie van de Gauss-payload te kraken. Het is het bedrijf tot nu toe niet gelukt om de versleuteling van de Flame-variant te doorbreken.
Het Gauss-virus richt zich op het Midden-Oosten en zou bedoeld zijn om gegevens buit te maken van bankrekeninghouders. Ook is er ondersteuning voor het inbreken in PayPal en Citibank aan boord. De code van de malware zou een afgeleide zijn van het geraffineerde Flame-virus. Ondanks een uitvoerige analyse van Gauss door Kaspersky, is het nog niet gelukt om de versleutelde payload van de malware te kraken. De malware zou deze lading pas activeren nadat de payload is ontsleuteld met behulp van enkele specifieke strings afkomstig van een besmet systeem.
De payload is verstopt in twee containers, een 32bit- en een 64bit-bestand genaamd system32.dat en system32.bin. Daarbinnen bevinden zich drie modules die door de malware op een besmette machine ontsleuteld worden. Daarbij zou een voor malwarebegrippen zeer complexe routine worden gebruikt. Buitgemaakte gegevens worden weggeschreven in het bestand .thumbs.db.
Kaspersky denkt dat de payload van de 'overheidstrojan' bedoeld is voor een zeer specifiek en belangrijk doelwit, aangezien de malwaremakers veel voorzorgsmaatregelen hebben getroffen om de payload onleesbaar te maken. Om de versleuteling te doorbreken, waarbij een brute-forceaanval als ondoenlijk wordt gezien, heeft Kaspersky een oproep gedaan aan wiskundigen en cryptoanalisten. Daarbij zijn enkele samples vrijgegeven van de malware, bestaande uit strings met een lengte van 32 bytes.