Eset felfedezi a Stuxnet féreg második változatát

Az Eset kutatói felfedezték a Stuxnet féreg második változatát, amely egy nemrégiben nyilvánosságra hozott Windows biztonsági rést használ a Siemens ipari gépek megtámadására.

A második változat, amelyet az Eset "jmidebs.sys" -nek nevez, kihasználva a rosszul működő gyorsindító fájlokat a Windows-ban, a ".lnk" mellékállomással együtt.

Az eredeti Stuxnet féreghez hasonlóan a második változat egy tanúsítvánnyal is alá van írva, amely az alkalmazás sértetlenségének ellenőrzéséhez használható. A bizonyítványt a VeriSign-től vették fel a JMicron Technology Corp., Tajvanon alapított cég, írta Pierre-Marc Bureau, az Eset vezető kutatója.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

Az első Stuxnet féreg tanúsítványa a Realtek Semiconductor Corp.-ből származik, bár a VeriSign most visszavonta azt, mondta David Harley, az Eset tudományos kutatója. Érdekes, hogy mindkét vállalat szerepel ugyanabban a helyiségben, a tajvani Hsinchu Tudományos Parkban.

"Ritkán látjuk az ilyen szakmai tevékenységeket" - írta az Iroda. "Legalább két vállalat tanúsítványait ellopták, vagy megvásárolták azokat, akik elloptak. Ekkor még nem világos, hogy a támadók megváltoztatják-e a tanúsítványukat, mert az első ki volt téve, vagy ha különböző tanúsítványokat használnak de ez azt mutatja, hogy jelentős erőforrásokkal rendelkeznek. "

Bár az Eset elemzők még mindig a második változatot tanulmányozzák, szorosan kapcsolódik a Stuxnethez, mondta Harley. Lehetőség van továbbá a Siemens WinCC felügyeleti és adatgyűjtési (SCADA) rendszerek felügyeletére, amelyek a gyártáshoz használt ipari gépek és erőművek kezelésére szolgálnak. A második változat kódját július 14-én állították össze, mondta Harley.

Amíg a második változat kódja kifinomultnak tűnik, a felszabadítás módja valószínűleg nem volt ideális. A féreg felszabadítása helyett egy trójai trükkje nagyobb valószínűséggel teszi a biztonsági kutatók számára egy minta hamarabb, ha gyorsan terjed, ami aláássa annak hatékonyságát, Harley azt mondta: "Ez azt mondja nekem, hogy talán amit nézünk valaki a rosszindulatú területeken kívül, aki nem értette a következményeket - mondta Harley. "Ha szándékukban áll elrejteni a SCADA telepítés iránti érdeklődésüket, nyilvánvalóan nem sikerült."

A Stuxnet-nek az első olyan része, amely a Siemens SCADA-t célozza. Ha a féreg megtalálja a Siemens SCADA rendszert, alapértelmezett jelszót használ a rendszerbe való belépéshez, majd a projektfájlokat egy külső webhelyre másolja.

A Siemens azt tanácsolja, hogy ügyfelei ne változtassák meg a jelszót, mert ez megzavarhatja a rendszert. A Siemens azt tervezi, hogy elindít egy weboldalt, amely foglalkozik a probléma megoldásával és a rosszindulatú programok eltávolításával.

A Microsoft kiadott egy tanácsadást a biztonsági résen, amíg a javítás készen áll. A Windows minden verziója sérülékeny.

Hírek és észrevételek küldése [email protected]