Eset objevil druhou variantu Stuxnet Worm

Výzkumníci z Esetu objevili druhou variantu červu Stuxnet, který používá nedávno zmiňovanou zranitelnost systému Windows k útoku na průmyslové stroje Siemens.

Druhá varianta, kterou Eset nazývá "jmidebs.sys", se může šířit přes jednotky USB, využívající neopravenou chybu v systému Windows zahrnující škodlivý soubor zástupců s příponou ".lnk".

Druhá varianta je stejně jako původní červ červů Stuxnet také podepsána certifikátem, který slouží k ověření integrity aplikace při instalaci. Certifikát byl zakoupen od firmy VeriSign společností JMicron Technology Corp., která sídlí na Tchaj-wanu, napsal na blogu Pierre-Marc Bureau, vedoucí výzkumný pracovník společnosti Eset.

[Další čtení: Jak odstranit malware z počítače se systémem Windows]

První certifikát červů Stuxnet pochází od společnosti Realtek Semiconductor Corp., ačkoli VeriSign ji nyní zrušil, uvedl David Harley, vědecký pracovník firmy Eset. Zajímavé je, že obě společnosti jsou uvedeny na svých pracovištích na stejném místě, vědecký park Hsinchu na Tchaj-wanu.

"Zřídka vidíme takové profesionální operace," napsal Bureau. "Odcizili certifikáty od nejméně dvou společností nebo je zakoupili od někoho, kdo je ukradl. V tomto okamžiku není jasné, zda útočníci mění svůj certifikát, protože první byl vystaven, nebo pokud používají různé certifikáty ale to ukazuje, že mají značné prostředky. "

Přestože analytici společnosti Eset stále studují druhou variantu, je to úzce spjato s Stuxnetem, řekl Harley. Může být také navržena tak, aby monitorovala činnost systémů kontroly dohledu a získávání dat společnosti Siemens WinCC (SCADA), které se používají k řízení průmyslových strojů používaných pro výrobu a elektrárny. Kód pro druhou variantu byl sestaven 14. července, Harley řekl:

Zatímco kód pro druhou variantu se zdá být sofistikovaný, způsob, jakým byl propuštěn, pravděpodobně nebyl ideální. Spouštění červa spíše než trojského koně způsobí, že bezpečnostní vědci uvidí vzorek dříve, pokud se rychle rozptýlí, což podkopává jeho účinnost. "

" To mi tvrdí, že možná to, co se díváme je někdo mimo oblast malwaru, která nerozumí důsledkům, "řekl Harley. "Pokud by chtěli skrýt svůj zájem o instalace SCADA, zjevně se jim nepodařilo."

Stuxnet je považován za první malware zaměřený na Siemens SCADA. Pokud červa najde systém Siemens SCADA, použije výchozí heslo, aby se dostal dovnitř systému a poté zkopíroval soubory projektu na externí webové stránky.

Společnost Siemens doporučuje, aby její zákazníci nezměnili heslo, protože to může narušit systém. Siemens plánuje spustit webové stránky, které se zabývají touto problematikou a jak odstranit malware.

Společnost Microsoft vydala poradenství s řešením této chyby, dokud není připravena náplast. Všechny verze systému Windows jsou zranitelné.

Odeslat tipy na zprávy a komentáře na adresu [email protected]