你需要了解Stuxnet蠕虫
Stuxnet是一种针对基础设施配套设施(如发电厂,水处理设施,煤气管道等)常用的工业控制系统(ICS)的计算机蠕虫。
这种蠕虫通常被认为是在2009年或2010年首次发现的,但实际上早在2007年就发现它已经袭击了伊朗的核计划。那时,Stuxnet主要发现在伊朗,印度尼西亚和印度,占据了超过85%的所有感染。
自那时以来,蠕虫已经影响到许多国家的数千台电脑,甚至彻底毁坏了一些机器,并摧毁了大部分伊朗的核离心机。
Stuxnet做什么?
Stuxnet旨在改变这些设施中使用的可编程逻辑控制器(PLC)。 在ICS环境中,PLC自动执行工业类型的任务,例如调节流量以保持压力和温度控制。
它只能传播到三台计算机,但每台计算机都可以传播给另外三台计算机,这就是它传播的方式。
它的另一个特点是传播到未连接到互联网的本地网络上的设备。 例如,它可能通过USB移动到一台计算机,但随后会传播到路由器后面的一些其他私人计算机,这些计算机未设置到外部网络,从而导致内部网络设备彼此感染。
最初,Stuxnet的设备驱动程序是数字签名的,因为它们是从应用于JMicron和Realtek设备的合法证书中窃取的,这使得它可以在没有任何可疑提示的情况下轻松安装自己。 然而,从那以后,威瑞信已经吊销了证书。
如果病毒落在没有安装正确西门子软件的计算机上,则它仍然无用。 这是这种病毒和其他病毒之间的一个主要区别,因为它是为了一个非常特殊的目的而建立的,并且不想“在其他机器上做任何邪恶的事情”。
Stuxnet如何到达PLC?
出于安全原因,工业控制系统中使用的许多硬件设备不能连接到互联网(甚至通常不连接到任何本地网络)。 为了解决这个问题,Stuxnet蠕虫整合了多种复杂的传播方式,最终达到并感染用于对PLC设备进行编程的STEP 7项目文件。
为了最初的传播目的,蠕虫病毒以运行Windows操作系统的计算机为目标,并且通常通过闪存驱动器来实现 。 但是,PLC本身不是基于Windows的系统,而是专有的机器语言设备。 因此,Stuxnet只是遍历Windows计算机,以便到达管理PLC的系统,并在其上呈现其有效负载。
为了对PLC进行重新编程,Stuxnet蠕虫寻找并感染STEP 7项目文件,这些文件被西门子SIMATIC WinCC,用于编程PLC的监控和数据采集(SCADA)和人机界面(HMI)系统使用。
Stuxnet包含各种例程来识别特定的PLC模型。 由于不同PLC设备上的机器级别指令会有所不同,因此需要进行型号检查。 一旦目标设备被识别并被感染,Stuxnet就会获得控制权,以拦截流入或流出PLC的所有数据,包括篡改该数据的能力。
Stuxnet的名字由
以下是您的防病毒程序可能识别Stuxnet蠕虫的一些方法:
- F-Secure :Trojan-Dropper:W32 / Stuxnet
- 卡巴斯基 :Rootkit.Win32.Stuxnet.b或Rootkit.Win32.Stuxnet.a
- McAfee :Stuxnet
- 诺曼 :W32 / Stuxnet.A
- Sophos :Troj / Stuxnet-A或W32 / Stuxnet-B
- 赛门铁克 :W32.Temphid
- 趋势科技 :WORM_STUXNET.A
Stuxnet可能还会有一些“亲戚”,像杜曲或火焰那样叫我的名字。
如何删除Stuxnet
由于西门子软件在电脑感染Stuxnet时会受到影响,因此如果怀疑有感染,请与他们联系。
还可以使用Avast或AVG等防病毒程序或按需病毒扫描程序(如Malwarebytes)运行完整的系统扫描。
保持Windows更新也是必要的,您可以使用Windows Update进行更新 。
如果您需要帮助,请参阅如何正确扫描计算机中的恶意软件 。