Esetの研究者は、最近公開されたWindowsの脆弱性を利用してSiemensの産業用マシンを攻撃するStuxnetワームの第2の亜種を発見しました.Esetが "jmidebs.sys"と呼ぶ第2の変種は、USBドライブ、 Windowsのパッチされていない脆弱性を悪用した ".lnk"拡張子を持つショートカットファイルを使用しています。
元のStuxnetワームと同様に、2番目の亜種も証明書で署名され、インストール時にアプリケーションの完全性を検証します。台湾の企業であるJMicron Technology Corp.がVeriSignから購入したのは、Esetの上級研究員であるPierre-Marc Bureauにブログで書いたものです。
[詳しい情報:Windows PCからマルウェアを削除する方法]
最初のStuxnetワームの証明書は、Realtek Semiconductor Corp.から入手しましたが、VeriSignは現在これを取り消しました。Eset上級研究員David Harley氏は述べています。興味深いことに、両社は台湾の新竹科学園と同じ場所にオフィスを持つことになっている。「このような専門的な業務はめったに見られない」と局が書いている。彼らは、少なくとも2つの企業の証明書を盗んだり、盗んだ人から購入したりしています。この時点で、最初の証明書が公開されているか、別の証明書を使用しているために証明書を変更していますEsetのアナリストはまだ2番目の変種を研究していますが、Stuxnetと密接に関連しているとHarley氏は述べています。また、製造工場や発電所に使用される産業機械を管理するために使用されるSiemens WinCC監視制御およびデータ収集(SCADA)システムの活動を監視するように設計されている場合もあります。 Harley氏は、第2の変種のコードは7月14日に編集されたと述べています。
第2変種のコードは洗練されているように見えますが、リリースされた方法はおそらく理想的ではありませんでした。ハーレーは、トロイの木馬ではなくワームをリリースすることで、セキュリティ研究者が迅速に広がり、有効性を損なう可能性が高いとセキュリティ研究者が見ている可能性が高くなると、ハーレーは述べている。その影響を理解していないマルウェアの外の誰かである」とハーレー氏は語った。 「彼らがSCADAのインストールに関心を隠そうとするなら、明らかに成功しなかった」と述べた。
Stuxnetは、Siemens SCADAを対象とした最初のマルウェアであると考えられている。ワームがSiemens SCADAシステムを見つけた場合は、デフォルトのパスワードを使用してシステム内部に入り、プロジェクトファイルを外部のWebサイトにコピーします。
Siemensでは、パスワードを変更しないと、システムが中断する可能性があるため、シーメンスは、この問題に対処するWebサイトを立ち上げ、マルウェアを削除する方法を計画しています。
マイクロソフトは、パッチが用意されるまで、この脆弱性に対する回避策を提供します。 Windowsのすべてのバージョンが脆弱です
[email protected]にニュースのヒントやコメントを送信