Eset는 Stuxnet 웜의 두 번째 변형 발견

Eset이 "jmidebs.sys"라고 부르는 두 번째 변종은 USB 드라이브, ".lnk"확장명을 가진 악의적 인 바로 가기 파일과 관련된 패치되지 않은 결함을 악용합니다.

원래 Stuxnet 웜과 마찬가지로 두 번째 변형도 설치시 응용 프로그램의 무결성을 확인하는 데 사용되는 인증서로 서명됩니다. 이 인증서는 대만에 본사를 둔 JMicron Technology Corp.에서 VeriSign에서 구입했으며 Eset의 선임 연구원 인 Pierre-Marc Bureau에 블로그에 실렸다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법] Eset 수석 연구원 인 David Harley는 VeriSign이 지금 그것을 철회했지만 Realtek Semiconductor Corp.의 첫 번째 Stuxnet 웜 인증서가 발급되었다고 전했다. 흥미롭게도 두 회사는 대만의 신슈 사이언스 파크 (Hsinchu Science Park)와 동일한 장소에 사무소를두고있다. "910"우리는 이러한 전문적인 업무를 거의 보지 못한다 "고 국 국이 썼다. "그들은 적어도 두 회사의 인증서를 훔쳐 갔거나 훔친 사람으로부터 구입했습니다.이 시점에서 첫 번째 인증서가 공개되었거나 다른 인증서를 사용하고 있기 때문에 공격자가 인증서를 변경하고 있는지 여부는 분명하지 않습니다. Eset 분석가들은 여전히 ​​두 번째 변종을 연구하고 있지만 Stuxnet과 밀접한 관련이 있다고 Harley는 말했습니다. 제조 및 발전소에 사용되는 산업 기계를 관리하는 데 사용되는 Siemens WinCC 감시 제어 및 데이터 수집 (SCADA) 시스템의 활동을 모니터링하도록 설계 될 수도 있습니다. 할리 (Harley)는 두 번째 변종에 대한 코드가 7 월 14 일에 컴파일되었다고 지적했다.

두 번째 변종의 코드는 세련된 것처럼 보이지만 출시 된 방식은 아마 이상적이지 않을 것이다. 할리는 트로이 목마가 아닌 웜을 배포하면 보안 연구원이 신속하게 확산되면 보안 연구원이 그 샘플을 더 빨리 볼 수있게 될 가능성이 높아져 효율성이 저하 될 것이라고 할리는 말했다. "그 말은 우리가보고있는 것 할리는 말웨어 분야 외의 누군가가 그 의미를 이해하지 못했다 "고 말했다. "그들이 SCADA 설치에 대한 관심을 숨기려한다면 분명히 성공하지 못했습니다."Stuxnet은 Siemens SCADA를 대상으로 한 최초의 멀웨어로 알려져 있습니다. 웜이 Siemens SCADA 시스템을 발견하면 기본 암호를 사용하여 시스템 내부로 들어간 다음 프로젝트 파일을 외부 웹 사이트에 복사합니다.

Siemens는 고객이 시스템을 방해 할 수 있으므로 비밀번호를 변경하지 말라고 조언합니다. 지멘스는이 쟁점을 해결하는 웹 사이트와 맬웨어 제거 방법을 시작할 계획입니다.

Microsoft는 패치 준비가되기 전까지이 취약점에 대한 대안을 제공하기위한 권고를 발표했습니다. 모든 Windows 버전이 취약합니다.

[email protected]에 뉴스 도움말 및 의견 보내기