2010年7月19日西门子公布了关于stuxnet木马病毒的信息:
有关一种新型恶意软件(木马)的信息正通过互联网传播,这种恶意软件会对可视化系统wincc scada造成影响。这种恶意软件通过usb存储器传播,只要查看u盘中的内容就会激活这个木马(特洛伊)。
2010年7月22日西门子给出了侦测和移除病毒的工具:
可以下载sysclean和trendmicro发布的用来检测和移除病毒的工具:
可以下载simatic的安全更新;
西门子给出了防范stuxnet木马病毒的建议:
1)不使用任何u盘或者其他的移动存储介质。
2)取消激活/卸载不再需要的服务,尤其是到internet的连接。
3)即使在病毒被移除之后,也不要在被感染过的编程计算机和自动化设备之间建立在线连接。在进一步测试之后,西门子会通知这种环境下对这种编程计算机能够做些什么。
2010年8月2日,西门子给出了用于关闭微软安全漏洞的微软补丁的链接。
西门子对微软补丁的重要提示:
微软补丁仅能阻止木马自动在系统上进行安装。对于安装了微软补丁的计算机,如果用户以管理员的权限通过鼠标单击打开了被感染的lnk文件,计算机同样会感染病毒(如果没有安装病毒扫描工具)。为了避免这种感染,强烈建议用户仅使用power user权限登录计算机。power user没有足够的权限去运行其它驱动器上的程序。附加的安全措施就是使用认证的病毒扫描软件。
2010年9月17日,西门子公布了病毒分析及研究进展:
1. 病毒已经被隔离在测试系统中,以进行更深入的研究。通过对测试系统软件环境中的病毒进行的特性及行为分析,可以看出我们面对的不是黑客随手开发的一个病毒,而是一个专家团队的产品。他们一定具备it经验,同时熟知特定的工业控制的原理,具有工业生产过程和相关的工程知识。
2. 据目前所知,来自于西门子的工业控制会被感染。当安装了wincc或者pcs7软件,木马病毒就会被激活。
3. 进一步的研究表明,理论上除了进行数据的传递,病毒可以感染特定自动化环境或工厂配置中的特定处理过程和操作。这意味着,在一定的条件下,病毒能够影响控制系统中的操作过程。无论如何,这种行为还没有在测试系统或者实际使用中被验证。
4. 对恶意软件的行为模式分析可知,很显然病毒仅在工厂特定的配置中才会被激活。它故意搜索一定的技术数据集,使用一定的模型和一定的程序特征,这些模型应用于特定的生产过程。例如,这些特征可能出现在本地的一个特定数据块和两个程序块中。
5. 这意味着恶意软件明显是针对特定的生产或工厂的,而不是特定的品牌或者加工技术,而且主要不是工业应用。
6. 这个结论也与西门子发现的几个案例相符。在这些案例中都检测出病毒但并未被激活。截止目前,这些病毒都可以在没有造成任何破坏的前提下被移除。 这种特定的工厂并未出现在我们掌握的案例中。
推荐的反病毒措施:
• 病毒执行自己的块 (例如,db890, fc1865,1874),并尝试将其装载到 cpu 中,并使其进入程序队列中。如果程序中使用了上述的块,那么病毒将不能感染用户程序。
• 如果原始程序中没有使用如上的块,但现在出现了这些块,那么说明病毒已经感染了系统。这种情况下西门子强烈建议将工厂控制系统恢复到其原始状态。
西门子还公布了与simatic wincc和pcs7成功通过测试的微软补丁kb2347290:
http://support.automation.siemens.com/ww/view/en/18490004
判断安装windows的计算机是否感染病毒,可以使用sysclean病毒检测工具或者经西门子认证的trendmicro、mcafee或symantec 反病毒软件,并包含2010年7月25日或更新的病毒库。
详情请看西门子支持中心的文档《simatic wincc/pcs 7:关于恶意软件/病毒/木马的信息》,给出了检测病毒、处理病毒和预防病毒的措施。其网址为:
http://support.automation.siemens.com/cn/llisapi.dll?func=cslib.csinfo&lang=zh&objid=43876783&caller=view
----------------------------------------------
此篇文章从博客转发
原文地址: Http://blog.gkong.com/more.asp?id=125948&Name=liaochangchu