Dissecting Stuxnet
Forskare på Eset har upptäckt en andra variant av Stuxnet-masken som använder en nyligen avslöjad Windows-sårbarhet för att attackera Siemens industrimaskiner.
Den andra varianten, vilken Eset kallar "jmidebs.sys", kan sprida sig via USB-enheter, exploaterar en oöverträffad fel i Windows med en skadlig genvägsfil med ".lnk" -tillägget.
Liksom den ursprungliga Stuxnet-ormen, skrivs den andra varianten också med ett certifikat som används för att verifiera integriteten hos en applikation när den installeras. Certifikatet köptes från VeriSign av JMicron Technology Corp., ett företag baserat i Taiwan, skrev Pierre-Marc Bureau, en seniorforskare vid Eset, på en blogg.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]Den första Stuxnet-maskens certifikat kom från Realtek Semiconductor Corp., trots att VeriSign nu har återkallat det, säger David Harley, seniorforskare Eset. Intressant är att båda företagen är noterade för att ha kontor på samma plats, Hsinchu Science Park i Taiwan. "
" Vi ser sällan sådan professionell verksamhet ", skrev presidiet. "De stal antingen certifikat från minst två företag eller köpte dem från någon som stal dem. Vid det här laget är det inte klart om angriparna ändrar sitt intyg eftersom den första var utsatt eller om de använder olika certifikat i olika attacker, men detta visar att de har betydande resurser. "
Även om Eset-analytiker fortfarande studerar den andra varianten, är det nära relaterat till Stuxnet, sa Harley. Det kan också utformas för att övervaka aktiviteten på Siemens WinCC-kontroll och datainsamling (SCADA), som används för att hantera industrimaskiner som används för tillverkning och kraftverk. Koden för den andra varianten sammanställdes den 14 juli, sade Harley.
Medan koden för den andra varianten tycks vara sofistikerad, är det sätt som den släppts sannolikt inte idealisk. Att frisläppa en mask snarare än en trojan gör det mer sannolikt att säkerhetsforskare kommer att se ett exempel på det tidigare om det sprider sig snabbt vilket undergräver dess effektivitet, säger Harley. "Det säger mig att det kanske vi tittar på är någon utanför malwarefältet som inte förstod konsekvenserna, säger Harley. "Om de hade för avsikt att dölja sitt intresse för SCADA-installationer, har de uppenbarligen inte lyckats."
Stuxnet tros vara den första skadliga programvaran Siemens SCADA. Om ormen hittar ett Siemens SCADA-system använder det ett standardlösenord för att komma in i systemet och sedan kopiera projektfiler till en extern webbplats.
Siemens rekommenderar att kunderna inte ändrar lösenordet eftersom det kan störa systemet. Siemens planerar att starta en webbplats som tar upp problemet och hur man tar bort skadlig kod.
Microsoft har utfärdat en rådgivning med en lösning för sårbarheten tills en patch är klar. Alla versioner av Windows är sårbara.
Skicka nyhetstips och kommentarer till [email protected]
Andra kvartalet slutade officiellt den 30 juni med tekniklagret som ledde alla andra. Frågan är, efter en stark andra kvartalet, var går de härifrån? Vissa analytiker förutspår ett dopp under de närmaste månaderna, eftersom människor undviker att köpa nya datorer och väljer att istället vänta till slutet av oktober när de kan köpa datorer med Microsofts nya operativsystem, Windows 7.
Nasdaq Composite Index ökade med 20 procent under andra kvartalet att stänga vid 1835.04 den 30 juni och slog Dow Jones Industrial Average och Standard & Poor's 500 Index, vilket var 11 procent respektive 15 procent. Nasdaq är också upp 16,4 procent hittills i år, medan Dow är 3,8 procent och S & P 500 upp 1,8 procent.
Stuxnet Industrial Worm skrevs över ett år sedan
Symantecs forskare säger att de har hittat en version av Stuxnet industriella mask som skapades mer än för ett år sedan.
ESET Smart Security 4 håller din dator säker med avancerad proaktiv detektering som blockerar mest kända och oupptäckta hot timmar eller dagar snabbare än andra Internet säkerhetsteknik
ESET Smart Security 4