专门针对西门子SIMATIC WinCC的超级工厂病毒全球肆虐！！！-专业自动化论坛-中国工控网论坛

专门针对西门子SIMATIC WinCC的超级工厂病毒全球肆虐！！！点击：1222 | 回复：9

精华：22帖
求助：0帖
帖子：301帖 | 8609回
年度积分：0
历史总积分：24924
注册：2003年6月15日

发表于：2010-09-29 13:42:18

楼主

一个席卷全球工业界的病毒已入侵我国，这种名为Stuxnet的蠕虫病毒已造成伊朗核电站推迟发电，目前国内有近500万网民及多个行业的领军企业遭其攻击。专家表示，这个破坏性病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集系统，可能造成钢铁、电力、能源、化工等重要行业运行异常，甚至造成商业资料失窃、停工停产等严重事故…

更多详情请参阅：http://news.sohu.com/20100926/n275259702.shtml

分享到：

邀请回答

回复楼主

老菜鸟

精华：22帖
求助：0帖
帖子：301帖 | 8609回
年度积分：0
历史总积分：24924
注册：2003年6月15日

发表于：2010-09-29 13:43:31

1楼

回复引用举报

老菜鸟

精华：22帖
求助：0帖
帖子：301帖 | 8609回
年度积分：0
历史总积分：24924
注册：2003年6月15日

发表于：2010-09-29 13:44:48

2楼

回复引用举报

老菜鸟

精华：22帖
求助：0帖
帖子：301帖 | 8609回
年度积分：0
历史总积分：24924
注册：2003年6月15日

发表于：2010-09-29 13:45:43

3楼

瑞星的相关描述：

近日，瑞星公司监测到一个席卷全球工业界的病毒已经入侵我国，这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电，目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说，我们许多大型重要企业在安全制度上存在缺失，可能促进Stuxnet病毒在企业中的大规模传播。

瑞星专家表示，这是世界上首个专门针对工业控制系统编写的破坏性病毒，它同时利用包括MS10-046、MS10-061、MS08-067等7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中，目前有两个本地提权漏洞仍未修复。

该病毒通过伪装RealTek 与JMicron两大公司的数字签名，从而顺利绕过安全产品的检测。从编写手法上看，该病毒还有很大的改进余地，将来很可能出现同样原理的复杂病毒。

据瑞星技术部门分析，Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，一旦攻击成功，则可能造成使用这些企业运行异常，甚至造成商业资料失窃、停工停产等严重事故。

该病毒主要通过U盘和局域网进行传播，由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝，因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，则整个网络都会被感染。

Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。截至目前，Stuxnet病毒已经感染了全球超过 45000个网络，伊朗、印尼、美国、台湾等多地均不能幸免，其中，以伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。

据悉，早在今年7月，瑞星就监测到了Stuxnet的出现，一直进行跟踪并积极研发出了解决方案，瑞星安全专家提醒广大政府及企业级用户：一定要严格限制U盘在密级网络中的应用，如果必须使用的，则应该建立使用登记和责任追究制度。另外，瑞星杀毒软件网络版也针对此病毒，提供了完善的U盘病毒预防、网络内安全管理、恶性病毒扫描等全套解决方案。

回复引用举报

老菜鸟

精华：22帖
求助：0帖
帖子：301帖 | 8609回
年度积分：0
历史总积分：24924
注册：2003年6月15日

发表于：2010-09-29 13:47:02

4楼

瑞星：Stuxnet病毒技术分析报告
2010-09-27 16:01:34 瑞星公司
摘要：这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。
Worm.Win32.Stuxnet病毒分析

病毒名称：

Worm.Win32.Stuxnet

病毒概述：

这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。

技术细节：

传播方式：

1. 通过MS10-046漏洞传播

病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp（动态库）和一个注入下列文件名的lnk文件组成：

Copy of ShortCut to .lnk

Copy of Copy of ShortCut to .lnk

Copy of Copy of Copy of ShortCut to .lnk…

在存在MS10-046漏洞的机器上，只需浏览这些lnk，Explorer.exe就会将~WTR数字.Tmp加载起来。

2. 通过MS10-061漏洞传播

该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下，并利用WMI将其执行起来。

3. 通过共享文件夹传播

该病毒还会试图将自身拷贝到局域网共享文件夹下，并命名为类似DEFRAG（随机数字）.tmp的名称。

4. 通过MS08-067漏洞传播

该病毒还会利用MS08-067漏洞传播。

病毒的主要功能以及大致流程：

当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后，Explorer.exe会加载~WTR数字.Tmp，然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时，病毒并没有通过普通的LoadLibrary函数加载，为了隐藏自身模块，同时为了达到不释放文件来加载病毒模块的目的，它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数，然后，它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr，然后以此为参数调用LoadLibrary，正常情况下，该调用会失败因为该文件并不存在，但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名，则会重定向到其他位置，比如另一个文件或者通常情况下是一块已经被病毒解密过的内存，这样，外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。

回复引用举报

开尔文

精华：0帖
求助：0帖
帖子：0帖 | 6回
年度积分：0
历史总积分：24
注册：2007年1月16日

发表于：2010-09-29 13:55:50

5楼

是美国人搞的 ,专门针对伊朗核设施的. 但是以后说不定就会针对中国了,好恐怖,中国的重型工业都被其控制了.

回复引用举报

全能数控

精华：0帖
求助：2帖
帖子：14帖 | 587回
年度积分：2
历史总积分：3140
注册：2002年12月25日

发表于：2010-09-29 14:07:28

6楼

瑞星俺从来不用.

360把俺的电脑打分为0

可是俺的电脑已经多年没有重装系统了

回复引用举报

知秋

精华：0帖
求助：0帖
帖子：28帖 | 738回
年度积分：0
历史总积分：4952
注册：2004年1月04日

发表于：2010-09-29 14:10:48

7楼

回复内容：
对：全能数控关于

瑞星俺从来不用.

360把俺的电脑打分为0

可是俺的电脑已经多年没有重装系统了

内容的回复：

你的电脑太落伍了，所以连360也看不上。

回复引用举报

云锋

精华：1帖
求助：4帖
帖子：252帖 | 5541回
年度积分：0
历史总积分：30376
注册：2005年6月24日

发表于：2010-09-29 14:30:35

8楼

国内有中毒案例么？

回复引用举报

zaxife

精华：0帖
求助：0帖
帖子：1帖 | 80回
年度积分：0
历史总积分：270
注册：2005年5月25日

发表于：2010-10-07 21:51:09

9楼

要真是计较起来，瘫痪微软的操作系统是最好的手段。全球那么多微软的操作系统在线....！！！

回复引用举报

热门招聘

﻿专门针对西门子SIMATIC WinCC的超级工厂病毒全球肆虐！！！ ﻿点击：1222 | 回复：9

专门针对西门子SIMATIC WinCC的超级工厂病毒全球肆虐！！！点击：1222 | 回复：9