一种恶意软件，也被称为木马（特洛伊），正在传播。它会影响安装有 WinCC 和 PCS7 软件的微软 Windows 计算机。这种病毒通过移动存储介质进行传播，如 USB 记忆棒和网络。只要查看 U 盘中的内容就会激活这个木马（特洛伊）。
http://support.automation.siemens.com/CN/llisapi.dll?func=cslib.csinfo&lang=zh&objid=43876783&caller=view

2010年7月22日的产品信息:

侦测和移除病毒的可用工具
Sysclean, TrendMicro 发布的用来检测和移除病毒的工具，已经可以下载。您可以用它来确认您的计算机是否已经被病毒感染。
如果您的计算机已被感染，请通知西门子客户支持。由于每个工厂配置各异，我们不能排除移除这种病毒之后对您的工厂带来某种影响的可能性。
下载 Sysclean 的链接:
sysclean.zip ( 4608 KB ) checksum ( 739 bytes )

注意: 请遵守安装和使用说明



启动 Sysclean 后，会显示下面的消息：


下载来自 Trend Micro 的最新签名文件并解压该文件到文件夹 "sysclean":
http://www.trendmicro.com/download/viruspattern.asp

更新病毒库
请您确保对经验证的防病毒软件及时更新（TrendMicro, McAfee, Symantec）。现在有一些原始病毒的派生版本存在。


可用的SIMATIC 安全更新

关于 SIMATIC 安全更新的提示：

请遵守安装和使用说明－－-例如:
“...如果您根据微软安全公告"2286198"执行了更新，那么图标将会被标准的 Windows 图 标替换。确保给您的桌面链接和 Windows 开始菜单中的条目分配有意义的名字，以便它们能够被轻松的识别。在做了微软的安全更新之后，您会接收到另一个 SIMATIC的安全更新以恢复这些图标……”。
SIMATIC 安全更新检查微软安全补丁是否已经安装：
微软补丁已经安装 => 微软补丁功能 „删除图标“ 颠倒显示。
微软补丁尚未安装 => 保护图标是可操作的
下载链接 (2010年8月18日更新，V1.0.0.11)

SIMATIC_Security_Update_V1_0_0_11.exe ( 2258 KB ) checksum ( 756 bytes )

我们的建议仍然有效:
不使用任何 U 盘或者其他的移动存储介质。
经常检查您的安全概念：取消激活/卸载不再需要的服务，尤其是到 Internet 的连接。
即使在病毒被移除之后，也不要在被感染过的编程计算机和自动化设备之间建立在线连接。在进一步测试之后，我们会通知您在这种环境下对这种编程计算机能够做些什么。

调查这种病毒的最新信息
我们正在紧急调查这种病毒的行为。到目前为止，还没有迹象表明这种病毒会影响工厂控制系统。

被感染计算机的最新消息
目前，仅有一个客户计算机被病毒感染的已知案例。病毒渗透了一个系统集成商的纯组态环境，但很快就被消除。迄今为止，工厂并没有被感染到。


2010年7月21的产品信息: 问题: 答案:
基本常规问题
什么是 Stuxnet 木马/病毒，它能做什么？ 它是一个通过U盘传播的软件，利用的是微软Windows的安全漏洞。病毒对XP以及更高的系统有影响。
软件/恶意软件探测西门子SIMATIC WinCC 和 PCS 7 程序以及数据。它也可能和特定的web站点/服务器联系并通信。
Siemens 通过自己的测试发现这种病毒
能发送过程或生产数据
试图通过internet建立连接。测试显示，这种连接没有完成，因为通讯对象/目标服务器没有激活。
作为我们分析的一部分，我们正在检查看病毒是否能
发送或者删除系统数据，或
改变系统文件

什么平台会被影响/可能被影响？ 基于现在的信息，只有那些通过USB接口能访问数据或者操作系统的平台可能会被影响。
通常，作为安全概念的一部分，每个工厂的操作员都能确保，不能通过USB接口不受限制的访问SCADA系统。额外的保护设备，如防火墙和杀毒软件也能防止木马（特洛伊）/病毒渗透到系统里。

这种病毒已经造成任何破坏？ 只在德国有一个已知的案例。现在我们正在尽力找出是否这种病毒已经造成了破坏。
病毒来自哪里? 正在调查。
为什么这种病毒只攻击西门子应用程序？或者其他供应商的软件产品有没有受影响？ 据我们所知，只有西门子受影响。安装 WinCC 或 PCS 7，就会激活木马（特洛伊）。
西门子如何帮助受影响的客户？ 微软将会尽快提供一个更新（补丁），将会关闭USB接口的安全漏洞。
杀毒软件的供应商已经准备了更新的病毒文件，这些文件正在西门子做测试，应该最迟于2010年7月21日左右授权使用。杀毒软件会帮助检测和消除这种病毒。
西门子也会在这周提供一个软件工具，用这个工具客户可以检查 Windows PC 看是否已经被感染。这个工具会通过西门公告发布：
English:
http://support.automation.siemens.com/WW/view/en/43876783
German:
http://support.automation.siemens.com/WW/view/de/43876783
西门子也会提供一个带有所有必要功能的SIMATIC 安全更新。

您建议您的客户立即采取什么行动？ 不要用任何 U 盘
如有可用更新，立刻安装

什么时候会有西门子官方公告? 西门子官方公告已经发布:
English:
http://support.automation.siemens.com/WW/view/en/43876783
German:
http://support.automation.siemens.com/WW/view/de/43876783
这些站点会每日更新，包含最新的进展。


特殊问题
WinCC 使用的是什么认证机制? WinCC 的登录用户和密码可以自由定义而且和访问内部数据库无关。从 WinCC 到微软 SQL 数据库的内部系统认证是基于预先定义的访问数据。这个数据对客户来说不可见，而且是作为 WinCC 的系统组件和数据库之间通信的内部系统机制。改变访问数据可能会阻止 WinCC 和数据库之间的通信，因此不推荐修改它。增强认证程序正在被检测。

在我们的系统手册"Security Concept PCS 7 and WinCC"中描述了我们给客户的建议。我们非常清晰的指出如何提高这些系统的安全性。

例如，其中有一点是取消激活／卸载不需要的任何服务：

http://support.automation.siemens.com/WW/view/en/38616083/133300

白皮书：
PCS 7 和 WinCC 安全概念基本文档, 6.3 章。帮助客户利用杀毒软件、防火墙和其他我们推荐的措施建立一个安全的环境。

您知道谁制造了恶意软件吗？它已经出现多长时间？ 正在调查，而且将被诉诸法律程序
恶意软件实际上只用来攻击你的系统而且只影响你的客户，以前有过类似事件吗？还是这是第一次发生？ 据我们所知，这是木马（特洛伊）攻击西门子 SCADA 系统的第一个事件。