Eset обнаруживает вторую вариацию червя Stuxnet

Исследователи из Eset обнаружили второй вариант червя Stuxnet, который использует недавно обнаруженную уязвимость Windows для атаки промышленных машин Siemens.

Второй вариант, который Eset называет «jmidebs.sys», может распространяться через USB-накопители, используя неподдерживаемый недостаток в Windows с вредоносным ярлыком с расширением «.lnk».

Как и у исходного червя Stuxnet, второй вариант также подписан сертификатом, который используется для проверки целостности приложения при его установке. Сертификат был куплен у VeriSign компанией JMicron Technology Corp., компанией, базирующейся в Тайване, написал в своем блоге Pierre-Marc Bureau, старший научный сотрудник Eset, в блоге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Первый сертификат червя Stuxnet пришел от Realtek Semiconductor Corp., хотя VeriSign теперь отозвал его, сказал Дэвид Харли, старший научный сотрудник Eset. Интересно, что обе компании имеют в наличии офисы в том же месте, научный парк Синьчу на Тайване.

«Мы редко видим такие профессиональные операции», - пишет Бюро. «Они либо украли сертификаты от, по крайней мере, двух компаний, либо купили их у кого-то, кто их украл. На данный момент неясно, изменяют ли нападавшие их сертификат, потому что первый из них был открыт или если они используют разные сертификаты в разные атаки, но это показывает, что у них есть значительные ресурсы ».

Хотя аналитики Eset все еще изучают второй вариант, он тесно связан с Stuxnet, сказал Харли. Он также может быть спроектирован для мониторинга активности систем контроля и сбора данных Siemens WinCC (SCADA), которые используются для управления промышленными машинами, используемыми для производства и электростанций. Код для второго варианта был составлен 14 июля, сказал Харли.

Хотя код второго варианта кажется сложным, то, как он был выпущен, вероятно, не идеален. Выпуск червя, а не трояна делает его более вероятным, что исследователи безопасности увидят образец его раньше, если он быстро распространится, что подрывает его эффективность, сказал Харли.

«Это говорит мне, что, возможно, мы смотрим на кто-то вне поля вредоносных программ, которые не понимают последствий », - сказал Харли. «Если бы они намеревались скрыть свой интерес к установкам SCADA, они, очевидно, не преуспели».

Stuxnet считается первой частью вредоносного ПО, нацеленного на Siemens SCADA. Если червь находит систему SCADA Siemens, он использует пароль по умолчанию для входа в систему, а затем копирует файлы проекта на внешний веб-сайт.

Siemens сообщает, что его клиенты не изменяют пароль, потому что это может нарушить работу системы. Корпорация Siemens планирует запустить веб-сайт, посвященный этой проблеме, и как удалить вредоносное ПО.

Корпорация Майкрософт выпустила рекомендацию об устранении этой уязвимости до тех пор, пока патч не будет готов. Все версии Windows уязвимы.

Отправить новости советы и комментарии к [email protected]