Eset的研究人员发现了Stuxnet蠕虫的第二个变体,它使用最近披露的Windows漏洞攻击西门子工业机器。
Eset称为“jmidebs.sys”的第二个变体可以通过USB驱动器传播,利用Windows中的一个未修补的缺陷,其中包含带“.lnk”扩展名的恶意快捷方式文件。
与原始的Stuxnet蠕虫一样,第二个变体也使用证书签名,用于验证应用程序在安装时的完整性。该证书是由台湾某公司的JMicron Technology Corp.在VeriSign购买的,它在博客上写了Eset的高级研究员Pierre-Marc Bureau。
[进一步阅读:如何从Windows PC中删除恶意软件] Eset的高级研究员David Harley表示,第一个Stuxnet蠕虫病毒的证书来自Realtek半导体公司,尽管VeriSign已经撤销了它。有趣的是,两家公司都被列为在同一地点设立办事处,即台湾新竹科学园。“我们很少看到这样的专业运作。”Bureau写道。 “他们要么偷走至少两家公司的证书,要么从盗窃他们的人那里购买证书,此时,攻击者是否正在更换他们的证书还不清楚,因为第一个公开证书或者他们正在使用不同的证书不同的攻击,但这表明他们拥有重要的资源。“
虽然Eset分析师仍在研究第二个变体,但它与Stuxnet密切相关,Harley说。它也可以用来监控西门子WinCC监控和数据采集(SCADA)系统的活动,该系统用于管理用于制造和发电厂的工业机器。 Harley说,第二个变体的代码是在7月14日编译的。虽然第二个变体的代码看起来很复杂,但它发布的方式可能并不理想。哈利说,释放一种蠕虫而不是木马使得安全研究人员更快地看到它的样本,如果它迅速传播,破坏它的有效性,“哈利说。”这对我来说可能是我们正在看的是恶意软件领域之外的人,他们不了解其含义,“Harley说。 “如果他们打算隐藏他们对SCADA安装的兴趣,他们显然没有成功。”
Stuxnet被认为是第一个针对西门子SCADA的恶意软件。如果蠕虫找到西门子SCADA系统,它会使用默认密码进入系统,然后将项目文件复制到外部网站。
西门子建议客户不要更改密码,因为这可能会破坏系统。西门子计划推出一个网站来解决这个问题,以及如何删除恶意软件。
微软已经发布了一个针对该漏洞的解决方法的建议,直到补丁准备就绪。所有版本的Windows都是易受攻击的。
发送新闻提示和评论至[email protected]