訊：2014年6月25日，ICS-CERT發布了題為“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02。其中通報了一種類似震網病毒的專門針對工控系統攻擊的惡意代碼。安全廠商F-Secure首先發現了這種惡意代碼并將其作為后門命名為W32/Havex.A，F-Secure稱它是一種通用的遠程訪問木馬（RAT，即Remote Access Trojan）。

和工控系統中使用的工業控制軟件，這種木馬可能有能力禁用水電大壩、使核電站過載，甚至可以做到按一下鍵盤就能關閉一個國家的電網。

提供商的Web網站已受到該惡意代碼的感染。顯然，這些惡意代碼的傳播技術使得攻擊者能夠獲得工控系統的訪問權限，并安裝相應的惡意代碼（后門程序或木馬）。而在安裝過程中，該惡意軟件會釋放一個叫做“mbcheck.dll”的文件，這個文件實際上就是攻擊者用作后門的Havex惡意代碼。

　　F-Secure聲稱他們已收集和分析了Havex RAT的88個變種，并認為Havex及其變種多通過利用OPC標準 被用來從目標網絡和機器獲取權限并搜集大量數據。具體表現為：該類惡意軟件會通過掃描本地網絡中那些會對OPC請求做出響應的設備，來收集工業控制設備的操作系統信息、竊取存儲在開發Web瀏覽器的密碼、使用自定義協議實現不同C&C服務器之間的通信，然后把這些信息反饋到C&C服務器上（Havex的攻擊原理如下圖所示）。

　　同時FireEye公司的研究人員最近也聲稱發現了一個Havex的新變種，同樣認為發現的Havex變種具備OPC服務器的掃描功能，并可以搜集有關聯網工控設備的信息，以發回到C&C服務器供攻擊者分析使用。這表明，雖然Havex及其變種最可能是被用作收集工控系統情報的工具，但攻擊者應該不僅僅是對這些目標公司的系統信息感興趣，而必然會對獲取那些目標公司所屬的ICS或SCADA系統的控制權更感興趣。

　　最近多家安全公司的研究發現它多被用于從事工業間諜活動，其主要攻擊對象是歐洲的許多使用和開發工業應用程序和機械設備的公司。