Siemens lärde sig frågan den 14 juli, sade talesman Michael Krampe, Siemens Industry, i ett e-postmeddelande fredag. "Företaget samlade omedelbart ett team av experter för att utvärdera situationen. Siemens tar alla försiktighetsåtgärder för att varna sina kunder för de potentiella riskerna med detta virus," sa han.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Vissa är oroliga för att detta typ av virus kan användas för att ta kontroll över dessa system, för att störa operationer eller utlösa en storolycka, men experter säger att en tidig analys av koden antyder att det troligen var utformat för att stjäla hemligheter från fabriker och andra industrianläggningar.

"Det här har alla kännetecken för weaponized software, troligen för spionage", sa Jake Brodsky, en IT-arbetare med ett stort verktyg, som bad att hans företag inte skulle identifieras eftersom han inte var behörig att prata på dess vägnar.

Andra industrisäkerhetsexperter kom överens om att den skadliga programvaran skrevs av en sofistikerad och bestämd angripare. Programvaran utnyttjar inte en bugg i Siemens-systemet för att komma in på en dator, men använder istället en tidigare obesluten Windows-bugg för att komma in i systemet.

Viruset riktar sig till Siemens Management Software, som heter Simatic WinCC, som körs på Windows-operativsystemet system.

"Siemens når ut till sitt säljteam och kommer också att tala direkt med sina kunder för att förklara omständigheterna", sa Krampe. "Vi uppmanar kunderna att genomföra en aktiv kontroll av sina datorsystem med WinCC-installationer och använda uppdaterade versioner av antivirusprogramvara förutom att vara övervakad om IT-säkerhet i sina produktionsmiljöer."

Senast fredagen utfärdade Microsoft en säkerhetsrådgivning varning för problemet, säger att det påverkar alla versioner av Windows, inklusive dess senaste Windows 7 operativsystem. Företaget har sett buggen exploaterad endast i begränsade, riktade attacker, sa Microsoft.

Systemen som kör Siemens-programvaran, kallad SCADA (system för övervakning och datainsamling), är vanligtvis inte anslutna till Internet av säkerhetsskäl, men det här viruset sprider sig när en infekterad USB-stick sätts in i en dator.

När USB-enheten är ansluten till datorn, söker viruset efter ett Siemens WinCC-system eller en annan USB-enhet, enligt Frank Boldewin, en säkerhetsanalytiker med Tyska IT-leverantören GAD, som har studerat koden. Den kopierar sig till en USB-enhet som den finner, men om den upptäcker Siemens-programvaran försöker den omedelbart logga in med ett standardlösenord. Annars gör det ingenting, sa han i en e-post intervju.

Den tekniken kan fungera, eftersom SCADA-system ofta är dåligt konfigurerad, med standardlösenord oförändrade, sa Boldewin.

Viruset upptäcktes förra månaden av forskare med VirusBlokAda, ett känt antivirusföretag baserat i Vitryssland och rapporterade torsdagen av säkerhetsbloggar Brian Krebs.

För att komma runt Windows-system som kräver digitala signaturer - en vanlig praxis i SCADA-miljöer - använder viruset en digital signatur tilldelad till halvledarstillverkaren Realtek. Viruset utlöses när som helst ett offer försöker se innehållet i USB-pinnen. En teknisk beskrivning av viruset finns här (pdf).

Det är oklart hur virusets författare kunde skriva in deras kod med Realteks digitala signatur, men det kan tyda på att Realteks krypteringsnyckel har äventyras. Den taiwanesiska halvledartillverkaren kunde inte nås för kommentar fredag.

På många sätt, efterliknar viruset proof-of-concept-attacker som säkerhetsforskare som Wesley McGrew har utvecklat i laboratorier i åratal. De system som den riktar sig till är attraktiva för angripare eftersom de kan ge en skattekälla av information om fabriken eller verktyget där de används.

Den som skrev virusprogrammet kan ha riktat in en specifik installation, säger McGrew, grundare av McGrew Security och en forskare vid Mississippi State University. Om författarna hade velat bryta sig in i så många datorer som möjligt, snarare än ett specifikt mål skulle de ha försökt utnyttja mer populära SCADA-hanteringssystem som Wonderware eller RSLogix. Enligt experter finns det flera anledningar varför någon kanske vill bryta ett SCADA-system "Det kan finnas pengar i det", sa McGrew. "Kanske tar du över ett SCADA-system och du håller det gisslan för pengar."

Kriminella kan använda informationen från en tillverkares WinCC-system för att lära sig förfalskade produkter, säger Eric Byres, chefstekniker med säkerhetskonsult Byres Security. "Det här ser ut som ett klass A-fall med fokuserad IP-skörd," sa han. "Detta ser fokuserat och verkligt."

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för

IDG News Service

. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]