Ką reikia žinoti apie "Stuxnet" kirminą
"Stuxnet" yra kompiuterinis kirminas, skirtas pramonės kontrolės sistemoms (ICS), kurios paprastai naudojamos infrastruktūros įrenginiuose (ty jėgainėse, vandens valymo įrenginiuose, dujų linijose ir tt).
Dažniausiai sakoma, kad kirminas pirmą kartą buvo atrastas 2009 arba 2010 m., Tačiau iš tiesų buvo nustatyta, kad ji jau 2007 m. Puolė Irano branduolinę programą. Tais laikais "Stuxnet" buvo rasta daugiausia Irane, Indonezijoje ir Indijoje, kuriai tenka daugiau kaip 85% visų infekcijų.
Nuo to laiko kirminas daugelyje šalių paveikė tūkstančius kompiuterių, net visiškai sugadinęs kai kurias mašinas ir naikindamas didžiąją dalį Irano branduolinių centrifugų.
Ką veikia "Stuxnet"?
"Stuxnet" yra skirtas pakeisti šiuose įrenginiuose naudojamus programuojamus loginius valdiklius (PLC). ICS aplinkoje PLC automatizuoja pramonės tipo užduotis, pvz., Srauto reguliavimo palaikymą, kad išlaikytų slėgio ir temperatūros kontrolę.
Jis sukurtas tik paskirstyti į tris kompiuterius, tačiau kiekvienas iš jų gali skleisti į tris kitus, tai yra, kaip jis plinta.
Kitas jo požymis - perduoti į vietinio tinklo įrenginius, kurie nėra prijungti prie interneto. Pavyzdžiui, jis gali persikelti į vieną kompiuterį per USB, bet paskui išplisti į kai kurias kitas privačias mašinas, esančias už maršrutizatoriaus , kurios nėra nustatytos norint pasiekti išorinius tinklus, todėl vidiniai įrenginiai gali užkrėsti vienas kitą.
Iš pradžių "Stuxnet" įrenginių tvarkyklės buvo pasirašytos skaitmeniniu būdu, nes jie buvo pavogti iš teisėtų sertifikatų, kurie buvo taikomi "JMicron" ir "Realtek" įrenginiams, todėl jį galėjo lengvai įdiegti be jokių įtartinų naudotojo paraginimų. Tačiau nuo tada VeriSign atšaukė sertifikatus.
Jei virusas nusileidžia kompiuteryje, kuriame nėra įdiegtos teisingos "Siemens" programinės įrangos, jis bus nenaudingas. Tai vienas pagrindinis skirtumas tarp šio viruso ir kitų, nes jis buvo sukurtas labai konkrečiam tikslui ir "nenori" daryti nieko blogo kitose mašinose.
Kaip veikia "Stuxnet Reach" PLC?
Saugumo sumetimais daugelis pramoninių valdymo sistemų naudojamų aparatūros įrenginių nėra prijungtos prie interneto (ir dažnai net nėra prijungtos prie bet kurių vietinių tinklų). Siekiant išvengti šios problemos, "Stuxnet" kirminas turi keletą sudėtingų platinimo priemonių, kurių tikslas - galų gale pasiekti ir užkrėsti STEP 7 projekto failus, naudojamus PLC įrenginiams programuoti.
Pradiniam sklaidos tikslu kirminas nukreiptas į kompiuterius, kuriuose veikia "Windows" operacinės sistemos, ir paprastai tai atliekama per " flash drive" . Tačiau pats PLC nėra "Windows" sistema, o savarankiškas mašininio kalbos įrenginys. Taigi "Stuxnet" paprasčiausiai perkelia "Windows" kompiuterius, norėdami patekti į sistemas, valdančias PLC, dėl kurių ji teikia naudingąją apkrovą.
Norėdami perprogramuoti PLC, "Stuxnet" kirminas išprovokuoja ir užkrėdo "STEP 7" projekto failus, kuriuos naudoja "Siemens SIMATIC WinCC", priežiūros valdymą ir duomenų gavimą (SCADA) bei žmogaus ir mašinos sąsajos (HMI) sistemą, naudojamą PLC programavimui.
"Stuxnet" turi įvairias užduotis konkretaus PLC modelio identifikavimui. Šis modelio patikrinimas yra būtinas, nes mašinų lygmens instrukcijos skirsis skirtinguose PLC įrenginiuose. Kai tikslinis įrenginys buvo identifikuotas ir užkrėstas, "Stuxnet" gauna valdiklį, kad perimtų visus duomenis, įtekančius į PLC ar iš jo, įskaitant galimybę sugadinti šiuos duomenis.
Vardai Stuxnet Goes By
Toliau pateikiami tam tikri būdai, kuriais jūsų antivirusinė programa gali identifikuoti "Stuxnet" širdys:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b arba Rootkit.Win32.Stuxnet.a
- "McAfee" : "Stuxnet"
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A arba W32 / Stuxnet-B
- Symantec : W32.Temphid
- "Trend Micro" : WORM_STUXNET.A
"Stuxnet" taip pat gali turėti "giminaičių", kurių pavadinimai yra Duqu arba Flame .
Kaip pašalinti Stuxnet
Kadangi "Siemens" programinė įranga yra pavojinga, kai kompiuteris yra užkrėstas "Stuxnet", svarbu susisiekti su jais, jei įtariama infekcija.
Taip pat paleiskite visišką sistemos nuskaitymą su antivirusine programa, pvz., "Avast" arba "AVG", arba pagal pareikalavimą atliekamą virusų skaitytuvą, pvz., "Malwarebytes".
Taip pat būtina atnaujinti "Windows" sistemą , kurią galite naudoti " Windows" naujinimui .
Jei reikia pagalbos, žr. Kaip tinkamai nuskaityti kompiuterį kenkėjiškoms programoms .