Stuxnet是一种计算机蠕虫,它针对通常用于基础设施支持设施(即发电厂,水处理设施,天然气管道等)的工业控制系统(ICS)类型。
人们常说这种蠕虫病毒是在2009年或2010年首次发现的,但实际上早在2007年就已经发现它已经袭击了伊朗的核计划。当时,Stuxnet主要在伊朗,印度尼西亚和印度被发现,占85%以上所有感染
从那时起,这种蠕虫已经影响了许多国家的数千台计算机,甚至完全破坏了一些机器并消灭了伊朗核离心机的大部分。
Stuxnet做什么?
Stuxnet旨在改变这些设施中使用的可编程逻辑控制器(PLC)。在ICS环境中,PLC可自动执行工业类型的任务,例如调节流速以维持压力和温度控制。
它的构建只能扩展到三台计算机,但每台计算机都可以传播到另外三台,这就是它传播的方式。
其另一个特征是传播到未连接到互联网的本地网络上的设备。例如,它可能通过USB移动到一台计算机,但随后传播到路由器后面的其他未设置为到达外部网络的其他私有机器,从而有效地导致内部网设备相互感染。
最初,Stuxnet的设备驱动程序经过数字签名,因为它们是从适用于JMicron和Realtek设备的合法证书中窃取的,这使得它可以轻松地自行安装,而不会向用户发出任何可疑提示。然而,从那以后,VeriSign撤销了证书。
如果病毒落在没有安装正确西门子软件的计算机上,它将无法使用。这是这种病毒与其他病毒之间的一个主要区别,因为它是为了一个非常特定的目的而构建的,并且“不想”在其他机器上做任何邪恶的事情。
Stuxnet如何到达PLC?
出于安全原因,工业控制系统中使用的许多硬件设备不是互联网连接的(并且通常甚至不连接到任何本地网络)。为了解决这个问题,Stuxnet蠕虫采用了几种复杂的传播方式,目的是最终到达并感染用于编程PLC设备的STEP 7项目文件。
对于初始传播目的,蠕虫针对运行Windows操作系统的计算机,通常通过闪存驱动器执行此操作。但是,PLC本身不是基于Windows的系统,而是专有的机器语言设备。因此,Stuxnet只是遍历Windows计算机,以便进入管理PLC的系统,在此系统上呈现其有效负载。
为了对PLC进行重新编程,Stuxnet蠕虫会查找并感染STEP 7项目文件,这些文件由西门子SIMATIC WinCC使用,用于对PLC进行编程的监控和数据采集(SCADA)以及人机界面(HMI)系统。
Stuxnet包含用于识别特定PLC模型的各种例程。此模型检查是必要的,因为机器级指令会因不同的PLC设备而异。一旦目标设备被识别并被感染,Stuxnet就会获得控制以拦截流入或流出PLC的所有数据,包括篡改该数据的能力。
名字Stuxnet Goes By
以下是您的防病毒程序可能识别Stuxnet蠕虫的一些方法:
- F-Secure的:Trojan-Dropper:W32 / Stuxnet
- 卡巴斯基:Rootkit.Win32.Stuxnet.b或Rootkit.Win32.Stuxnet.a
- 迈克菲:Stuxnet
- 诺曼:W32 / Stuxnet.A
- Sophos的:Troj / Stuxnet-A或W32 / Stuxnet-B
- 赛门铁克:W32.Temphid
- 趋势科技:WORM_STUXNET.A
Stuxnet也可能有一些像Duqu或Flame这样名字的“亲戚”。
如何删除Stuxnet
由于西门子软件在计算机感染Stuxnet时会受到影响,因此如果怀疑感染,请联系他们。
还可以使用Avast或AVG等防病毒程序或Malwarebytes等按需病毒扫描程序运行完整系统扫描。
还必须保持Windows更新,您可以使用Windows Update进行更新。
