×
Siemens Industry Online Support
Siemens AG
Type de contribution : Informations sur le produit, ID de la contribution : 43876783, Date de la contribution : 13/04/2011
(6)
Évaluer

SIMATIC WinCC / SIMATIC PCS 7 : Informations concernant les logiciels malveillants / Virus / Chevaux de Troie

  • Contribution
  • Concerne le/les produits(s)
Vous trouverez ici les informations concernant les derniers développements ainsi que les mesures préconisées par Siemens relatives à Stuxnet. ...

Vous trouverez ici les informations concernant les derniers développements ainsi que les mesures préconisées par Siemens relatives à Stuxnet.
 

Sommaire

 

Mise à jourEtat actuel des ordinateurs infectés
11.03.2011Au total dans le monde, 24 clients Siemens du monde industriel ont signalé jusqu'ici une infection avec le cheval de Troie. Dans tous les cas, le logiciel malveillant a pu être éliminé. Aucun de ces cas n'a eu d'effets sur la solution d'automatisation pendant l'infection.

 

Procédure recommandée pour identifier une infection par Stuxnet et pour l'éradiquer

Nous préconisons d'analyser les types d'ordinateurs suivants:

  1. Systèmes embarqués "Embedded" (par exemple Microbox)
  2. Autres ordinateurs
    • Ordinateurs d'infrastructure  ( serveurs de fichiers, contrôleurs de domaine, autres serveurs...)
    • Ordinateurs avec ou sans WinCC installé
    • Machines virtuelles ( par exemple installations VMWARE)

Les différentes actions doivent être effectuées en respectant la procédure suivante :

Important
Les fichiers ZIP doivent être sauvegardés sous forme de Backup avant le scan. Les fichiers ZIP > 1 MB doivent être désarchivés avant le Scan pour être sûr que les fichiers contenus puissent être scannés.

A) Systèmes embarqués "Embedded"
Ces ordinateurs doivent être scannés depuis un deuxième ordinateur ( non embedded ) via des lecteurs validés (déjà scannés).

  1. Mettre à jour le deuxième ordinateur comme un "autre ordinateur", afin d'éviter une infection mutuelle ; relier les lecteurs du système embarqués sur le deuxième ordinateur.
  2. Ouvrir l'explorateur Windows sur le deuxième ordinateur => sélectionner les lecteurs réseau connectés par clic droit => lancer un scan antivirus sur chaque lecteur.

B) Autres ordinateurs

  1. Déterminez si votre ordinateur Microsoft Windows est affecté par le virus :
     
    • Utilisez l'utilitaire antivirus Sysclean ou bien les programmes antivirus validés par Siemens de TrendMicro, McAfee ou Symantec avec les signatures à partir du 25.07.2010
    • IMPORTANT :
      Désactivez la fonction "Automatically Clean Infected Files„ sur les antivirus.

      ( 16 KB ) La figure peut être ouverte par clic.
       

  2. Dans le cas où une infection a été détectée, procédez de la manière suivante :
Si votre ordinateur est infecté, informez-en dans tous les cas le Customer Support Siemens en charge de votre suivi
Vérifiez conjointement avec le Customer Support Siemens les étapes suivantes pour l'installation de votre ordinateur ou de votre installation :
  • Installez le Patch Microsoft.
  • Déconnectez immédiatement l'ordinateur du réseau.
  • Déclarez un utilisateur principal, toutefois restez encore connecté avec les droits administrateur pour l'exécution de l'utilitaire SYSCLEAN et de la Mise à jour de sécurité SIMATIC. Nettoyez l'ordinateur avec „Sysclean“, la fonction "Automatically Clean Infected Files" étant activée

( 16 KB ) La figure peut être ouverte par clic.

  • Installez la Mise à jour de sécurité SIMATIC.
  • Redémarrez l'ordinateur. Loggez vous en tant qu'utilisateur principal.
  • Effectuez une nouvelle recherche de virus à l'aide de votre logiciel antivirus installé et laissez tourner le logiciel antivirus en permanence.
  • Assurez vous que les fichiers compactés, par exemple les fichiers Zip, sont décompactés dans un répertoire séparé avant l'analyse antivirus. Avec certains paramétrages du logiciel antivirus, la recherche de virus dans les fichiers compactés peut, dans des cas isolés, ne pas être assurée complètement. Le décompactage assure dans tous les cas une vérification complète par le mécanisme de recherche de virus.
  • Reconnectez l'ordinateur au réseau.


Les mesures de prévention suivantes sont également à prendre :

  • Toutes les liaisons avec le monde extérieur (données client, périphériques USB, autres...) doivent être testées et nettoyées/corrigées.
  • Dans la mesure du possible, ne pas utiliser des clés USB ou des supports de données amovibles provenant de tiers. Vérifier systématiquement les concepts de sécurité ; par exemple, arrêter /désinstaller les services non utilisés. L'installation du Patch Microsoft est conseillée pour les systèmes d'exploitation indiqués par Microsoft..
 
Autres informations techniques
Note importante pour l'utilisation d'antivirus en liaison avec des fichiers compressés
Veuillez noter que les fichiers compressés, par exemple les fichiers ZIP, doivent être désarchivés dans un répertoire distinct avant la recherche de virus. Avec certains paramétrages du logiciel antivirus, la recherche de virus dans les fichiers compactés peut, dans des cas isolés, ne pas être assurée complètement. Le décompactage assure dans tous les cas une vérification complète par le mécanisme de recherche de virus.
 
Informations relatives aux automates SIMATIC CPU 315-2 et CPU 417
Le logiciel malveillant fournit ses propres blocs (par exemple DB890, FC1865,1874) et essaie de les charger dans l'unité centrale 315-2 et de les intégrer dans l'exécution du programme. Si les blocs en question sont déjà présents, le logiciel malveillant ne commet pas d'intrusion dans le programme utilisateur. Si les blocs en question n'étaient pas encore présents dans le programme d'origine de la CPU315-2 et que ceux-ci sont désormais détectés, alors le virus a une action/influence. Il faut dans ce cas restaurer d'urgence l'état d'origine de l'installation. Lorsque la CPU417 est utilisée et si le DB8061 est déjà présent dans le projet, ce DB peut être modifié lors du téléchargement par le logiciel malveillant. Si le DB8061 n'est pas présent dans le projet, aucune action n'est nécessaire.
 
Compatibilité des mises à jour Microsoft avec les applications SIMATIC
La compatibilité du Patch Microsoft KB2347290 a été testée avec succès avec SIMATIC WinCC et SIMATIC PCS 7.
Vous trouverez des informations à jour sur d'autres mises à jour Microsoft ici :
/cs/document/18490004?caller=view&lc=de-WW

Remarques concernant la sécurité relatives à Siemens Tecnomatix FactoryLink

 Siemens_Security_Advisory_SSA-630126.pdf ( 70 KB )

 

Téléchargements
Utilitaire pour détecter et supprimer Stuxnet
  • Avec l'utilitaire Sysclean de TrendMicro, vous pouvez, de manière simple, détecter si votre ordinateur est infecté par le virus décrit. Il vous permettra également de le supprimer.
  • Si votre ordinateur a été attaqué, informez svp votre Customer Support Siemens. Chaque installation étant un cas particulier, nous ne pouvons exclure que l'élimination du virus puisse avoir des conséquences sur votre installation.
  • Lien vers le téléchargement :

    sysclean.zip ( 4608 KB )    checksum ( 739 bytes )

    Tenez compte svp des instructions d'installation et d'utilisation

  • Le message ci-dessous est affiché après le démarrage de Sysclean :


     
  • Téléchargez le fichier Signatures de Trend Micro le plus récent, et décompactez-le dans le dossier dans lequel vous avez installé "sysclean" :
    TREND MICRO Download Center
SIMATIC Security Update

Notes:

  • Tenez compte svp de l'extrait ci-dessous des instructions d'installation et d'utilisation :
    "...Si vous effectuez la mise à jour conformément à l'avis de sécurité Microsoft "2286198", les icônes sont remplacées par des icônes Windows standards. Avant l'installation, assurez-vous de donner des noms judicieux à vos raccourcis sur le bureau ainsi que dans le menu Démarrer de Windows. Après mise à disposition d'une mise à jour de sécurité Microsoft, une mise à jour de sécurité SIMATIC visant à régénérer les icônes sera mise à disposition....."
  • La mise à jour de sécurité SIMATIC vérifie si le patch de sécurité Microsoft est présent ::
    Patch Microsoft présent  => la fonction du Patch Microsoft „Effacement des icônes“ est annulée ( afin que l'ordinateur puisse être utilisé )
    Patch Microsoft non présent : => la protection des icônes est activée - sans quoi aucune(!) protection ne serait présente 
     
  • Lien vers le téléchargement (mise à jour: 24.01.2011, V1.0 SP1)

    SIMATIC_Security_Update_V1_0_SP1.exe ( 9562 KB ) ; checksum ( 755 bytes )
Le Patch Microsoft est disponible pour combler les failles de sécurité Microsoft
Microsoft Updates


Notes relatives à la sécurité
Pour garantir la sécurité des installations, systèmes, machines et réseaux contre les cybermenaces, il est nécessaire d’implémenter (et de maintenir en permanence) un concept de sécurité industrielle global et conforme à l’état actuel de la technique. Les produits et solutions de Siemens ne constituent qu’une partie d’un tel concept. Pour plus d’informations sur la sécurité industrielle, rendez-vous sur
http://www.siemens.com/industrialsecurity.
Aide pour la statistique
Cette fonction permet de délivrer les identifiants des résultats de la recherche selon la quantité souhaitée (format .txt).

Générer une liste
Copier l'URL
Afficher cette page dans le nouveau design
Poste de commande mySupport