Eset Opdager Anden Variation af Stuxnet Worm

Forskere ved Eset har opdaget en anden variant af Stuxnet-ormen, der bruger en nylig afsløret Windows-sårbarhed for at angribe Siemens industrimaskiner.

Den anden variant, som Eset kalder "jmidebs.sys", kan spredes via USB-drev, udnyttelse af en updateret fejl i Windows, der involverer en ondsindet genvejfil med ".lnk" -udvidelsen.

Ligesom den originale Stuxnet-orm, er den anden variant også underskrevet med et certifikat, der bruges til at verificere integriteten af ​​et program, når det installeres. Certifikatet blev købt hos VeriSign af JMicron Technology Corp., et firma med hjemsted i Taiwan, skrev Pierre-Marc Bureau, seniorforsker hos Eset, på en blog. [

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Den første Stuxnet orm's certifikat kom fra Realtek Semiconductor Corp., selvom VeriSign nu har tilbagekaldt det, sagde David Harley, Eset seniorforsker. Interessant nok er begge virksomheder noteret til at have kontorer på samme sted, Hsinchu Science Park i Taiwan.

"Vi ser sjældent sådanne faglige operationer," skrev Bureau. "De enten stjal certifikaterne fra mindst to virksomheder eller købte dem fra en person, der stjal dem. På dette tidspunkt er det ikke klart, om angriberne ændrer deres certifikat, fordi den første blev udsat, eller hvis de bruger forskellige certifikater i forskellige angreb, men dette viser, at de har betydelige ressourcer. "

Selvom Eset-analytikere stadig studerer den anden variant, er det nært beslægtet med Stuxnet, sagde Harley. Det kan også være designet til at overvåge aktiviteten på Siemens WinCC overvågnings- og dataovervågningssystemer (SCADA), som bruges til at styre industrimaskiner, der anvendes til fremstilling og kraftværker. Koden for den anden variant blev udarbejdet den 14. juli, sagde Harley.

Mens koden for den anden variant ser ud til at være sofistikeret, er den måde, den er blevet frigivet på, nok ikke ideel. At frigive en orm i stedet for en trojan gør det mere sandsynligt, at sikkerhedsforskere vil se en prøve af det tidligere, hvis det spredes hurtigt, hvilket underminerer dets effektivitet, sagde Harley. "Det hævder mig, at måske hvad vi ser på er nogen uden for malware feltet, der ikke forstod implikationerne, "Harley sagde. "Hvis de havde til hensigt at skjule deres interesse for SCADA-installationer, har de selvfølgelig ikke været lykkedes."

Stuxnet antages at være det første stykke malware-målretning Siemens SCADA. Hvis ormen finder et Siemens SCADA-system, bruger det en standardadgangskode til at komme ind i systemet og derefter kopiere projektfiler til et eksternt websted.

Siemens anbefaler at kunderne ikke ændrer adgangskoden, fordi det kan forstyrre systemet. Siemens planlægger at lancere et websted, der løser problemet, og hvordan man fjerner malware.

Microsoft har udgivet en rådgivning med en løsning på sårbarheden, indtil en patch er klar. Alle versioner af Windows er sårbare.

Send nyhedstips og kommentarer til [email protected]