Eset havaitsee Stuxnet-matoen toisen vaihtoehdon

Esetin tutkijat ovat löytäneet toisen version Stuxnet-matoista, joka käyttää äskettäin julkistettua Windows-haavoittuvuutta Siemensin teollisuuskoneiden hyökkäykseen.

Toinen vaihtoehto, jota Eset kutsuu "jmidebs.sys" -ohjelmaksi, voi levitä USB- Hyödyntämällä epäonnistuneita virheitä Windowsissa, jossa on ".lnk" -laajennukselta haitallinen pikakuvatiedosto.

Alkuperäisen Stuxnet-matoon verrattuna toinen versio allekirjoitetaan myös varmenteen avulla, jolla varmistetaan sovelluksen eheys asennuksen yhteydessä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta], kirjoitti sertifikaatti, jonka on tehnyt Taiwanista sijaitseva JMicron Technology Corp. VeriSign.

Ensimmäinen Stuxnet-mato on saanut todistuksen Realtek Semiconductor Corp.: sta, vaikka VeriSign on nyt kumonnut sen, sanoi David Harley, Esetin vanhempi tutkija. Mielenkiintoista on, että molemmilla yrityksillä on toimistot samassa paikassa, Taiwanin Hsinchun tiedepuisto.

"Harvoin näemme tällaisia ​​ammattitoimintoja", Bureau kirjoitti. "He joko varastivat todistukset vähintään kahdesta yrityksestä tai ostivat ne joltakulta, joka heitti heidät. Tässä vaiheessa ei ole selvää, ovatko hyökkääjät vaihtamaan sertifikaattiaan, koska ensimmäinen on altistunut tai jos he käyttävät erilaisia ​​todistuksia mutta tämä osoittaa, että niillä on huomattavia resursseja. "

Vaikka Eset-analyytikot tutkivat edelleen toista versiota, se on läheisessä yhteydessä Stuxnet-järjestelmään, Harley sanoi. Se voidaan suunnitella myös Siemens WinCC: n valvontajärjestelmien valvonta- ja tiedonsiirtojärjestelmien (SCADA) avulla, joita käytetään teollisuuskoneiden ja voimalaitosten hallitsemiseen. Toisen vaihtoehdon koodi koottiin 14. heinäkuuta, Harley sanoi.

Toisen vaihtoehdon koodi näyttäisi olevan hienostunut, joten tapa, jolla se on vapautettu, ei todennäköisesti ole ihanteellinen. Mummojen vapauttaminen troijan sijaan tekee todennäköisemmästä, että tietoturva-alan tutkijat näkevät sen näytteen nopeammin, jos se leviää nopeasti, mikä heikentää sen tehokkuutta. Harley sanoi: "Tämä väittää, että ehkäpä sitä, mitä katsomme on joku ulkopuolella haittaohjelmien alalla, joka ei ymmärtänyt vaikutuksia, "Harley sanoi. "Jos he aikoivat piilottaa kiinnostuksensa SCADA-laitteistoihin, he eivät selvästikään ole onnistuneet."

Stuxnetin uskotaan olevan ensimmäinen Siemens SCADA: n kohteena oleva haittaohjelma. Jos mato löytää Siemens SCADA -järjestelmän, se käyttää oletussalasanaa päästä järjestelmään ja sitten kopioida projektitiedostot ulkoiselle WWW-sivustolle.

Siemens ilmoittaa, että sen asiakkaat eivät muuta salasanaa, koska se voi häiritä järjestelmää. Siemens aikoo käynnistää verkkosivuston, jossa käsitellään ongelmaa ja miten haittaohjelmien poistaminen tapahtuu.

Microsoft on antanut neuvontaa haavoittuvuuden kiertotavoitteella, kunnes korjaustiedosto on valmis. Kaikki Windows-versiot ovat haavoittuvia.

Lähetä uutisvinkkiä ja kommentteja osoitteeseen [email protected]