就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。

安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A，F-Secure称它是一种通用的远程访问木马(RAT,即remoteaccessTrojan)，近来被用于从事工业间谍活动，主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。

SMARTY PANTS，TROJANIZED INSTALLERS

要做到这点，除了诸如利用工具包和垃圾邮件等传统感染方式外，网络罪犯们还会使用另一种有效的方法传播Havex，例如：渗透目标软件公司的Web站点，并等待目标安装那些合法APP的感染木马的版本。

在安装过程中，该木马软件释放一个叫做mbcheck.dll的文件，这个文件实际上就是攻击者用作后门的Havex恶意代码。

CC服务器将会指示被感染的计算机下载并执行其他组件，F-Secure称，我们收集和分析了Havex RAT的88个变种，这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个CC服务器的调查，这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者。F-Secure没有指出被影响厂商的名字，但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。

信息搜集

Havex RAT配备了一个新的组件，其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。

OPC是一种通信标准，它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备，以搜集工业控制设备的信息，然后将这些信息反馈到CC服务器上。除此以外，它也包含从受感染系统收集数据的信息收获工具，比如：

*凡注明来源为“线缆世界全媒体”， “线缆世界原创”或“线缆信息研究院”皆属线缆世界版权所有，未经允许禁止转载、摘编，违者必究。对于经过授权可以转载我方内容的单位，也必须保持转载文章、图像、音视频的完整性，并完整标注作者信息和本站来源。编译类文章仅出于传递更多信息之目的，不代表证实其描述或赞同其观点。;凡本网注明来源非“线缆世界全媒体”， “线缆世界原创”或“线缆信息研究院”的作品,版权归原创者所有,并不代表本网立场和观点,如有侵权,请联系删除。