新的病毒目标工业机密

安全专家认为，病毒似乎是这种威胁他们担心多年 - 恶意软件设计用于渗透运行工厂和关键基础设施部分的系统。

[更多阅读：如何从Windows PC删除恶意软件]

有些人担心这样做类型的病毒可以用来控制这些系统，破坏操作或引发重大事故，但专家说，对代码的早期分析表明它可能设计用来窃取制造厂和其他工业设施的秘密。

“这具有武器化软件的所有特征，可能用于间谍活动，”一家大型公用事业部门的IT工作人员杰克布罗德斯基说，他要求不要识别他的公司，因为他没有被授权发言

其他工业系统安全专家表示同意，称恶意软件是由一个复杂而坚决的攻击者编写的。该软件没有利用西门子系统中的缺陷进入PC，而是使用以前未公开的Windows缺陷进入系统。

该病毒针对西门子管理软件，称为Simatic WinCC，可在Windows操作系统上运行系统“。”

“西门子正在向销售团队伸出援手，并将直接向客户说明情况，”Krampe说。 “我们敦促客户使用WinCC安装对其计算机系统进行主动检查，并使用更新版本的防病毒软件，同时对其生产环境中的IT安全保持警惕。”

上周五，微软发布了安全通报警告说问题会影响所有版本的Windows，包括其最新的Windows 7操作系统。微软表示，该公司已经发现该漏洞只在有限的有针对性的攻击中被利用。

运行西门子软件的系统称为SCADA（监控和数据采集）系统，出于安全原因通常不会连接到互联网，但是当被感染的U盘插入计算机时，这种病毒就会传播。一旦将USB设备插入PC，病毒就会扫描西门子WinCC系统或其他USB设备，安全分析师Frank Boldewin说。德国IT服务提供商GAD，他研究了这些代码。它将自身复制到找到的任何USB设备，但是如果它检测到西门子软件，它会立即尝试使用默认密码登录。他在电子邮件采访中说，“这种技术可能会起作用，因为SCADA系统通常配置不当，缺省密码不变，Boldewin说。”

病毒是上个月由研究人员发现的VirusBlokAda是一家位于白俄罗斯的鲜为人知的防病毒公司，周四由安全博客Brian Krebs报道。为了避开需要数字签名的Windows系统 - SCADA环境中的常见做法 - 病毒使用分配的数字签名给半导体制造商瑞昱。只要受害者试图查看USB记忆棒的内容，就会触发病毒。这种病毒的技术描述可以在这里找到（pdf）。

目前还不清楚病毒的作者是如何用Realtek的数字签名签署他们的代码的，但这可能表明Realtek的加密密钥已被泄露。台湾半导体制造商周五不能发表评论。

在许多方面，这种病毒模仿的是像威斯利麦格鲁这样的安全研究人员多年来一直在实验室开发的概念验证攻击。它的目标系统对攻击者很有吸引力，因为它们可以提供有关工厂或实用程序的宝库信息。

撰写病毒软件的人可能一直针对特定的安装，McGrew说，创始人McGrew Security和密西西比州立大学的研究员。他表示，如果作者想要闯入尽可能多的计算机，而不是特定的目标，他们会试图利用更多流行的SCADA管理系统，如Wonderware或RSLogix。“据专家介绍，有几个原因为什么有人可能想要打破SCADA系统“可能有钱，”McGrew说。 “也许你接管了一个SCADA系统，并且把它当作了资金的人质。”安全咨询公司Byres Security的首席技术官Eric Byres说，犯罪分子可以使用制造商的WinCC系统提供的信息来学习如何伪造产品。 “这看起来像一个关注IP收获的A级案例，”他说。 “这看起来很专注和真实。”

Robert McMillan涵盖了

IDG新闻服务

的计算机安全和通用技术突发新闻。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]