你需要了解Stuxnet蠕蟲
Stuxnet是一種針對基礎設施配套設施(如發電廠,水處理設施,煤氣管道等)常用的工業控制系統(ICS)的計算機蠕蟲。
這種蠕蟲通常被認為是在2009年或2010年首次發現的,但實際上早在2007年就發現它已經襲擊了伊朗的核計劃。那時,Stuxnet主要發現在伊朗,印度尼西亞和印度,佔據了超過85%的所有感染。
自那時以來,蠕蟲已經影響到許多國家的數千台電腦,甚至徹底毀壞了一些機器,並摧毀了大部分伊朗的核離心機。
Stuxnet做什麼?
Stuxnet旨在改變這些設施中使用的可編程邏輯控制器(PLC)。 在ICS環境中,PLC自動執行工業類型的任務,例如調節流量以保持壓力和溫度控制。
它只能傳播到三台計算機,但每台計算機都可以傳播給另外三台計算機,這就是它傳播的方式。
它的另一個特點是傳播到未連接到互聯網的本地網絡上的設備。 例如,它可能通過USB移動到一台計算機,但隨後會傳播到路由器後面的一些其他私人計算機,這些計算機未設置到外部網絡,從而導致內部網絡設備彼此感染。
最初,Stuxnet的設備驅動程序是數字簽名的,因為它們是從應用於JMicron和Realtek設備的合法證書中竊取的,這使得它可以在沒有任何可疑提示的情況下輕鬆安裝自己。 然而,從那以後,威瑞信已經吊銷了證書。
如果病毒落在沒有安裝正確西門子軟件的計算機上,則它仍然無用。 這是這種病毒和其他病毒之間的一個主要區別,因為它是為了一個非常特殊的目的而建立的,並且不想“在其他機器上做任何邪惡的事情”。
Stuxnet如何到達PLC?
出於安全原因,工業控制系統中使用的許多硬件設備不能連接到互聯網(甚至通常不連接到任何本地網絡)。 為了解決這個問題,Stuxnet蠕蟲整合了多種複雜的傳播方式,最終達到並感染用於對PLC設備進行編程的STEP 7項目文件。
為了最初的傳播目的,蠕蟲病毒以運行Windows操作系統的計算機為目標,並且通常通過閃存驅動器來實現 。 但是,PLC本身不是基於Windows的系統,而是專有的機器語言設備。 因此,Stuxnet只是遍歷Windows計算機,以便到達管理PLC的系統,並在其上呈現其有效負載。
為了對PLC進行重新編程,Stuxnet蠕蟲尋找並感染STEP 7項目文件,這些文件被西門子SIMATIC WinCC,用於編程PLC的監控和數據採集(SCADA)和人機界面(HMI)系統使用。
Stuxnet包含各種例程來識別特定的PLC模型。 由於不同PLC設備上的機器級別指令會有所不同,因此需要進行型號檢查。 一旦目標設備被識別並被感染,Stuxnet就會獲得控制權,以攔截流入或流出PLC的所有數據,包括篡改該數據的能力。
Stuxnet的名字由
以下是您的防病毒程序可能識別Stuxnet蠕蟲的一些方法:
- F-Secure :Trojan-Dropper:W32 / Stuxnet
- 卡巴斯基 :Rootkit.Win32.Stuxnet.b或Rootkit.Win32.Stuxnet.a
- McAfee :Stuxnet
- 諾曼 :W32 / Stuxnet.A
- Sophos :Troj / Stuxnet-A或W32 / Stuxnet-B
- 賽門鐵克 :W32.Temphid
- 趨勢科技 :WORM_STUXNET.A
Stuxnet可能還會有一些“親戚”,像杜曲或火焰那樣叫我的名字。
如何刪除Stuxnet
由於西門子軟件在電腦感染Stuxnet時會受到影響,因此如果懷疑有感染,請與他們聯繫。
還可以使用Avast或AVG等防病毒程序或按需病毒掃描程序(如Malwarebytes)運行完整的系統掃描。
保持Windows更新也是必要的,您可以使用Windows Update進行更新 。
如果您需要幫助,請參閱如何正確掃描計算機中的惡意軟件 。