案例分享|智能機床安全防護典型案例

項目背景：

在某大型重工公司智能制造車間工控安全項目中，需要對智能機床嵌入式工控主機進行主機病毒查殺和加固的工作，這些嵌入式主機型號都為西門子PCU50，運行西門子840D數控系統。

客戶在近期需要在車間上線MES（Manufacturing Execution System）系統，必須盡快將所有智能機床嵌入式工控機接入企業內部網絡。但是在前期的試點過程中發現，企業內網有較多病毒和惡意軟件傳播，試點的智能機床嵌入式工控機接入內網后，不同程度的發生運行變慢、死機、藍屏等情況。業主迫不得已在第一時間斷開網絡，并緊急請求技術支持。

? ? ? ? ?

實施過程：

抵達現場后，技術服務工程師第一時間與客戶方各相關部門負責人進行了溝通，并到車間實地調研確認實施主機情況。雖然現場的工程師經驗豐富，但實際情況也是非常棘手：這些嵌入式主機普遍配置較低（賽揚1G左右CPU，128MB、256MB或512MB內存），使用的接口老舊（IDE硬盤、USB1.1）。

雖然早已與某集團有深入合作，在其i5智能機床和配套的嵌入式i5OS上做過各種測試驗證工作，并且在多個項目中也有嵌入式工控機的成功實施案例，但是配置如此之低的嵌入式主機還是第一次遇到。為避免風險，現場工程師當機立斷，決定采用更為穩妥的實施方案：

• 首先由客戶協調一臺840D主機先進行模擬驗證，驗證通過后再到車間進行實施；

• 模擬驗證無誤后，開始現場實施，首先進行主機全盤備份；

• 備份完成后進行殺毒和安裝工控主機衛士的操作；

• 一旦出現異常立即通過備份文件還原，最高優先級保證車間現場業務連續性。

然而好事多磨，協調到的840D主機由于多年不用已經損壞，客戶方暫時也沒有多余的設備進行測試，為了不影響項目進度，只得再次變更方案，直接到車間現場協調一臺主機，首先進行備份操作并驗證備份可用后再進行操作。

由于設備采用USB1.1接口，不到5G的數據盤備份操作進行時間超過2個小時，導致全部實施一臺主機的時間遠超前期預估的3個小時。備份完成后順利使用免安裝版殺毒軟件進行病毒查殺并安裝主機衛士。

第一臺主機的順利實施讓工程師放松了警惕，第二臺主機在進行同樣的殺毒操作時，免安裝版殺毒軟件進程運行數秒后自動消失，分別嘗試使用PE系統和光盤啟動版殺毒軟件又由于內存過低無法成功加載。暫停殺毒工作后，發現該主機的840D工控系統無法自動啟動，還好早有準備，立即使用備用硬盤恢復ghost，立即恢復了正常運行。（事后分析，是由于免安裝版殺毒軟件啟動時被頑固病毒劫持強制關閉，并因此激活了病毒的破壞操作，從而導致系統文件遭到破壞）

如此低配置的電腦，不得不再次拿出備用方案：先拆卸本機硬盤，安裝備用硬盤對主機進行ghost，保證正常生產，然后將本機硬盤轉接到專用的殺毒機上進行離機查殺。

新的方案雖然效率相對降低，但是磨刀不誤砍柴工，熟悉工控行業的小威深知，在保證生產面前，一切的高速高效，都沒有穩定可靠來得重要。

雖然經歷了一波三折，面對極低的系統配置和頑固病毒，憑借對工控行業的深耕和過硬的技術水平，冷靜分析，大膽實施，終于還是在項目規劃的時間內，保質保量的完成了任務，幫助業主掃清了MES系統上線前的最后一道屏障，收獲了業主代表的好評，同時也在普遍配置較低的智能制造領域現場環境中積累了寶貴的實施經驗。

殺毒報告

經過查殺，除1臺工控機未掃描到染毒文件外，其他目標主機中均不同程度的存在染毒情況。經統計，共掃描到5種病毒，112個染毒文件，概況如下表所示：

各工控主機病毒感染文件數量如下表所示：?

經過查閱資料，結合現場實施工程師和業主代表的經驗判斷，殺毒軟件掃描出的所有疑似病毒均無誤判情況，全部通過殺毒軟件進行清除處理。

將硬盤接回主機后，7臺主機操作系統和應用軟件均能正常運行，可以正常控制機床進行各種操作，驗證了前期的判斷正確性。

病毒分析：

查殺結果中的P2P-Worm.Win32.Malas.c、P2P-Worm.Win32.Malas.r、Net-Worm.Win32.Kido.ih病毒均為蠕蟲病毒的不同變種，三者相互作用，輔助保護和進行傳播。

該蠕蟲病毒變種極多，使用Microsoft Windows的MS08067漏洞在局域網內大肆傳播，造成網絡癱瘓，該蠕蟲病毒在溢出過程中由于其他因素可能造成網絡共享不能夠正常使用。

該病毒傳播到本地后調用如Rundll32.exe加以隨機7位字符的參數執行病毒加載功能，然后以遠程線程注入方式將自身植入Svchost.exe進程獲取系統服務權限，如果遠程線程執行失敗則改用APC方式。該病毒使用了獨占打開方式，使之其他程序無法對其進行打開，繞過了殺毒軟件掃描功能。當該蠕蟲以服務權限運行后，則開啟多個線程實現病毒傳播功能：獲取本地IP地址段，通過ARP方式判斷主機是否存活，如果存活則對其進行溢出，溢出成功后將自身副本文件拷貝到對方IE臨時目錄中。

監視本地可移動磁盤設備消息，如果發現可移動磁盤插入，拷貝自身副本到磁盤CREYLE目錄中，釋放經過變形的Autorun.inf指向rundll32.exe執行病毒文件，對所釋放的病毒文件更換NTFS所有者SID，使得計算機中正常用戶對其沒有訪問權限。

查殺結果中的Virus.Win32.Alman.b病毒是病毒Virus.Win32.Alman.a 的變種。此病毒每感染一個文件，病毒特征就會變一次，殺毒引擎想通過特征碼查殺來修復被感染的文件，困難重重。

該病毒的行為包括：感染后綴為.EXE和.SCR的可執行文件（如果文件名以WINC、WCUN、WC32、PSTO開頭則不感染）；連接IRC服務器:proxim.ircgalaxy.pl；接收遠程指令。

中毒后點擊系統盤以外的磁盤盤符有時會出現藍屏，進到系統后，殺毒軟件打不開，重裝了系統還是不行，再點擊系統盤以外的盤符，重復感染。

查殺結果中的Trojan.Win32.MicroFake.ba病毒為一種典型的特洛伊木馬病毒。lpk.dll病毒的典型特征是感染存在可執行文件的目錄，并隱藏自身，刪除后又再生成，當同目錄中的.exe文件運行時，lpk.dll就會被Windows動態鏈接，從而激活病毒，進而導致不能徹底清除。

用戶中毒后，會出現應用程序無故關閉，輸入用戶名密碼時，電腦運行速度緩慢，Windows軟件無故報錯甚至藍屏等現象。它是一種殺毒軟件很難清除的一種木馬，會隨著系統啟動而啟動，會自動生成文件到系統目錄或是程序目錄，有可能還會在RAR文件目錄中生成，如果發現電腦中幾乎所有的目錄都存在lpk.dll，甚至壓縮包中也存在，則極有可能中了利用操作系統自動加載lpk的蠕蟲(而且是木馬)。

已知檔案大小就是22016字節，windows XP，18944字節；windows7，26624字節屬系統文件，檔案不是windows核心檔案，因此技術安全等級是40%危險，注意有些惡意程序偽裝自己lpk.dll，尤其是如果他們是位于c:\windows文件夾，如果在磁盤內發現很多文件夾里有名為lpk.dll的文件，特征主要是在每個文件夾內都有。