项目背景:
在某大型重工公司智能制造车间工控安全项目中,需要对智能机床嵌入式工控主机进行主机病毒查杀和加固的工作,这些嵌入式主机型号都为西门子PCU50,运行西门子840D数控系统。
图1 现场嵌入式主机
客户在近期需要在车间上线MES(Manufacturing Execution System)系统,必须尽快将所有智能机床嵌入式工控机接入企业内部网络。但是在前期的试点过程中发现,企业内网有较多病毒和恶意软件传播,试点的智能机床嵌入式工控机接入内网后,不同程度的发生运行变慢、死机、蓝屏等情况。业主迫不得已在第一时间断开网络,并紧急向威努特请求技术支持。
实施过程:
抵达现场后,小威的技术服务工程师第一时间与客户方各相关部门负责人进行了沟通,并到车间实地调研确认实施主机情况。虽然现场的工程师经验丰富,但实际情况也是非常棘手:这些嵌入式主机普遍配置较低(赛扬1G左右CPU,128MB、256MB或512MB内存),使用的接口老旧(IDE硬盘、USB1.1)。
图2 现场主机配置信息
图3 现场主机操作系统信息
虽然威努特早已与沈机集团有深入合作,在其i5智能机床和配套的嵌入式i5OS上做过各种测试验证工作,并且在多个项目中也有嵌入式工控机的成功实施案例,但是配置如此之低的嵌入式主机还是第一次遇到。为避免风险,现场工程师当机立断,决定采用更为稳妥的实施方案:
首先由客户协调一台840D主机先进行模拟验证,验证通过后再到车间进行实施;模拟验证无误后,开始现场实施,首先进行主机全盘备份;备份完成后进行杀毒和安装工控主机卫士的操作;一旦出现异常立即通过备份文件还原,最高优先级保证车间现场业务连续性。
然而好事多磨,协调到的840D主机由于多年不用已经损坏,客户方暂时也没有多余的设备进行测试,为了不影响项目进度,只得再次变更方案,直接到车间现场协调一台主机,首先进行备份操作并验证备份可用后再进行操作。
由于设备采用USB1.1接口,不到5G的数据盘备份操作进行时间超过2个小时,导致全部实施一台主机的时间远超前期预估的3个小时。备份完成后顺利使用免安装版杀毒软件进行病毒查杀并安装主机卫士。
图4 主机全盘备份
第一台主机的顺利实施让小威工程师放松了警惕,第二台主机在进行同样的杀毒操作时,免安装版杀毒软件进程运行数秒后自动消失,分别尝试使用PE系统和光盘启动版杀毒软件又由于内存过低无法成功加载。暂停杀毒工作后,发现该主机的840D工控系统无法自动启动,还好小威早有准备,立即使用备用硬盘恢复ghost,立即恢复了正常运行。(事后分析,是由于免安装版杀毒软件启动时被顽固病毒劫持强制关闭,并因此激活了病毒的破坏操作,从而导致系统文件遭到破坏)
如此低配置的电脑,使得小威不得不再次拿出备用方案:先拆卸本机硬盘,安装备用硬盘对主机进行ghost,保证正常生产,然后将本机硬盘转接到专用的杀毒机上进行离机查杀。
图5 硬盘拆解
新的方案虽然效率相对降低,但是磨刀不误砍柴工,熟悉工控行业的小威深知,在保证生产面前,一切的高速高效,都没有稳定可靠来得重要。
小威虽然经历了一波三折,面对极低的系统配置和顽固病毒,凭借对工控行业的深耕和过硬的技术水平,冷静分析,大胆实施,终于还是在项目规划的时间内,保质保量的完成了任务,帮助业主扫清了MES系统上线前的最后一道屏障,收获了业主代表的好评,同时也在普遍配置较低的智能制造领域现场环境中积累了宝贵的实施经验。
杀毒报告:
图6 杀毒流程图
经过查杀,除1台工控机未扫描到染毒文件外,其他目标主机中均不同程度的存在染毒情况。经统计,共扫描到5种病毒,112个染毒文件,概况如下表所示:
各工控主机病毒感染文件数量如下表所示:
经过查阅资料,结合现场实施工程师和业主代表的经验判断,杀毒软件扫描出的所有疑似病毒均无误判情况,全部通过杀毒软件进行清除处理。
将硬盘接回主机后,7台主机操作系统和应用软件均能正常运行,可以正常控制机床进行各种操作,验证了前期的判断正确性。
病毒分析:
查杀结果中的P2P-Worm.Win32.Malas.c、P2P-Worm.Win32.Malas.r、Net-Worm.Win32.Kido.ih病毒均为蠕虫病毒的不同变种,三者相互作用,辅助保护和进行传播。
该蠕虫病毒变种极多,使用Microsoft Windows的MS08067漏洞在局域网内大肆传播,造成网络瘫痪,该蠕虫病毒在溢出过程中由于其他因素可能造成网络共享不能够正常使用。
该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能,然后以远程线程注入方式将自身植入Svchost.exe进程获取系统服务权限,如果远程线程执行失败则改用APC方式。该病毒使用了独占打开方式,使之其他程序无法对其进行打开,绕过了杀毒软件扫描功能。当该蠕虫以服务权限运行后,则开启多个线程实现病毒传播功能:获取本地IP地址段,通过ARP方式判断主机是否存活,如果存活则对其进行溢出,溢出成功后将自身副本文件拷贝到对方IE临时目录中。
监视本地可移动磁盘设备消息,如果发现可移动磁盘插入,拷贝自身副本到磁盘CREYLE目录中,释放经过变形的Autorun.inf指向rundll32.exe执行病毒文件,对所释放的病毒文件更换NTFS所有者SID,使得计算机中正常用户对其没有访问权限。
查杀结果中的Virus.Win32.Alman.b病毒是病毒Virus.Win32.Alman.a 的变种。此病毒每感染一个文件,病毒特征就会变一次,杀毒引擎想通过特征码查杀来修复被感染的文件,困难重重。
该病毒的行为包括:感染后缀为.EXE和.SCR的可执行文件(如果文件名以WINC、WCUN、WC32、PSTO开头则不感染);连接IRC服务器:proxim.ircgalaxy.pl;接收远程指令。
中毒后点击系统盘以外的磁盘盘符有时会出现蓝屏,进到系统后,杀毒软件打不开,重装了系统还是不行,再点击系统盘以外的盘符,重复感染。
查杀结果中的Trojan.Win32.MicroFake.ba病毒为一种典型的特洛伊木马病毒。lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的.exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。
用户中毒后,会出现应用程序无故关闭,输入用户名密码时,电脑运行速度缓慢,Windows软件无故报错甚至蓝屏等现象。它是一种杀毒软件很难清除的一种木马,会随着系统启动而启动,会自动生成文件到系统目录或是程序目录,有可能还会在RAR文件目录中生成,如果发现电脑中几乎所有的目录都存在lpk.dll,甚至压缩包中也存在,则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。
已知档案大小就是22016字节,windows XP,18944字节;windows7,26624字节属系统文件,档案不是windows核心档案,因此技术安全等级是40%危险,注意有些恶意程序伪装自己lpk.dll,尤其是如果他们是位于c:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\windows文件夹,如果在磁盘内发现很多文件夹里有名为lpk.dll的文件,特征主要是在每个文件夹内都有。