Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

  我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

  我々は昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

  同ルートキットコンポーネントは、デジタル署名されており、我々は有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

  いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

  有効なデジタル署名を用いた悪意あるソフトウェアについては、エフセキュアのJarno Niemelaが先頃、「Caro 2010 Workshop」のプレゼンテーションで予測していた:署名されているのだからクリーンでしょう?

  標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

  したがって、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている

  我々は今後も同ケースについて進展があり次第、詳細を報告する予定だ。