×
Siemens Industry Online Support
Siemens AG
Tipo de artículo: Notificación del producto, ID de artículo 43876783, Fecha del artículo: 01/04/2011
(6)
Evaluar

SIMATIC WinCC / SIMATIC PCS 7: Información relativa a código malicioso / virus / troyano

  • Artículo
  • Relacionado con producto(s)
Aquí se ofrece información sobre los últimos desarrollos y las medidas recomendadas por Siemens para gestionar el Stuxnet. ...
 

Aquí se ofrece información sobre los últimos desarrollos y las medidas recomendadas por Siemens para gestionar el Stuxnet.
 

 

Contenidos

 

ActualizadoEstado actual de los ordenadores infectados
11.03.2011Hasta la fecha se han notificado un total de 24 clientes de Siemens en el sector industrial, a nivel mundial, que se han visto infectados con el troyano. El código malicioso se pudo eliminar en todos los casos. La infección no tuvo en ninguno de estos casos un impacto adverso en la solución de automatización.

 

Procedimiento recomendado para identificar y eliminar una infección de Stuxnet

Se recomienda examinar los siguientes tipos de ordenadores:

  1. Sistemas embebidos (p. ej. Microbox)
  2. Otros ordenadores
    • Ordenadores de infraestructura (seridores de ficheros, controladores de dominio, otros servidores, ...)
    • Ordenadores con y sin una instalación de WinCC
    • Máquinas virtuales (p. ej. instalaciones de VMWARE)

Proceder como se indica más abajo para realizar las diversas medidas.

Importante
Hacer siempre una copia de seguridad de los ficheros ZIP antes de proceder con el escaneado. Los ficheros ZIP de > 1 MB se deberían descomprimir antes del escaneado para asegurar que los datos en ellos contenidos se escanean.

A) Sistemas embebidos
Estos sistemas se deben escanear desde un segundo ordenador (sistema no embebido) sobre unidades liberadas.

  1. Actualizar el segundo ordenador tal y como se describe bajo "Otro ordenador" para prevenir la reinfección mutua; conectar las unidades del sistema embebido al segundo ordenador.
  2. Abrir el Explorador de Windows en el segundo ordenador => Seleccionar Unidades de red conectadas con el botón derecho => Iniciar el escaneado de viruses según corresponda.

B) Otros ordenadores:

  1. Determinar si su ordenador con Microsoft Windows está infectado por el virus
     
    • Usar la herramienta de escaneado de virus Sysclean o los programas antivirus liberados por Siemens de TrendMicro, McAfee y Symantec con los patrones a partir del 25.07.2010.
    • IMPORTANTE:
      Deshabilitar la función de "Limpiar ficheros infectados automáticamente" de los escáneres de virus.

      ( 16 KB ) Por favor, pulsar sobre la imagen.
       

  2. Si se ha detectado un virus, se ruega proceder de la siguiente manera.
Si su ordenador está infectado, informe siempre a su Soporte a Cliente de Siemens y juntos determinar los siguientes pasos para la instalación en su ordenador y su planta:
  • Instalar el parche de Microsoft.
  • Desconectar el ordenador de la red de forma inmediata.
  • Crear un usuario estándar, pero seguir registrado con derechos de administrador para ejecutar la herramienta SYSCLEAN y las actualizaciones de seguridad SIMATIC. Limpiar el ordenador usando "Sysclean" con la función "Limpiar los ficheros infectados automáticamente" activada.

( 16 KB ) Por favor, pulsar sobre la imagen.

  • Instalar la actualización de seguridad Simatic.
  • Reiniciar el ordenador. Darse de alta como usuario estándar.
  • Volver a ejecutar el escaner de virus con el escaneador de virus que se ha instalado y dejar que se quede ejecutándose de manera permanente.
  • Se ruega asegurarse de que se han descomprimido los ficheros comprimidos, ficheros ZIP, por ejemplo, en un directorio independiente antes de realizar una comprobación de virus. Con determinados ajustes del escaneador de virus se podría dar el caso de que los ficheros comprimidos no se comprueben de manera exhaustiva ante una infección por virus. Descomprimir los ficheros comprimidos asegura que se realiza una comprobación completa en cada caso por parte del mecanismo de detección.
  • Volver a conectar el ordenador a la red.


Las siguientes precauciones de seguridad también son válidas:

  • Todos los contactos con el mundo exterior (datos de cliente, equipos USB, otros) se deben de probar y limpiar.
  • No usar, a ser posible, ningún USB stick y/o portador de datos móvil de terceros. Comprobar siempre los conceptos de seguridad. Por ejemplo, deshabilitar / desinstalar servicios que no se necesitan. Se recomienda la instalación del parche de Microsoft para los sistemas operativos enumerados por parte de Microsoft.

 

Información técnica adicional
Consideración importante sobre el uso de escáneres de virus para ficheros comprimidos
Se ruega asegurar que se han descomprimido los ficheros comprimidos, por ejemplo, los ficheros ZIP, en un directorio independiente antes de realizar una comprobación de viruses. Con determinados ajustes del escaneador de virus se podría dar el caso de que los ficheros comprimidos no se comprueben de manera exhaustiva ante una infección por virus. Descomprimir los ficheros comprimidos asegura que se realiza una comprobación completa en cada caso por parte del mecanismo de detección.
 
Información sobre los controladores SIMATIC CPU 315-2 y CPU 417
El código malicioso lleva sus propios bloques (por ejemplo, DB890, FC1865, 1874) e intenta transferirlos en la CPU 315-2 e integrarlos en la secuencia de programa. Si los bloques anteriormente mencionados ya estaban presentes, el código malicioso no se ha infiltrado en el programa de usuario. Si los bloques mencionados con anterioridad no se encuentraban presentes en el programa original de la CPU315-2 y ahora se detectan, el virus ha infectado el sistema. En este caso, se recomienda de manera urgente restaurar el sistema de control de la planta a su estado original. Cuando se utiliza la CPU 417 y hay un DB 8061 ya en el proyecto, el código malicioso probablemente podría cambiarlo cuando se descargue. Si el DB8061 no se encuentra disponible en el proyecto, no hay necesidad de llevar a cabo ninguna acción.
 

Compatibilidad de las actualizaciones de Microsoft con las aplicaciones SIMATIC
El parche de Microsoft KB2347290 se ha comprobado, con éxito, en lo que se refiere a compatibilidad con SIMATIC WinCC y SIMATIC PCS 7.
La información más reciente sobre otras actualizaciones de Microsoft se encuentra disponible en el siguiente enlace:
/cs/document/18490004?caller=view&lc=de-WW

Información sobre Siemens Tecnomatix FactoryLink

  Siemens_Security_Advisory_SSA-630126.pdf ( 70 KB )

 
Descargas
Herramienta para identificar y eliminar Stuxnet
  • Mediante el uso de la herramienta Sysclean de TrendMicro se puede detectar de una forma sencilla si el ordenador se ha infectado con el virus descrito y eliminado en consecuencia.
  • Si el ordenador está infectado, se ruega informar a su contacto para soporte a clientes Siemens correspondiente. Ya que cada planta es única, no podemos excluir el hecho de que eliminar el virus pueda tener algún tipo de impacto en su planta.
  • Enlace para la descarga:

    sysclean.zip ( 4608 KB )   suma de comprobación ( 739 bytes )

    Se ruega tener en cuenta las instrucciones de uso e instalación dadas más abajo.

  • El siguiente mensaje se muestra cuando se arranca Sysclean:


     
  • Descargar la última firma electrónica de Trend Micro y descomprimir este fichero en la carpeta "Sysclean" en la que se ha instalado "Sysclean":
    Centro de descarga de TREND MICRO
Actualización de seguridad SIMATIC

Consideraciones:

  • Se ruega seguir las instrucciones de uso e instalación - extracto:
    "...Si se realiza la actualización de acuerdo con el Microsoft Security Advisory "2286198", entonces los iconos serán reemplazados por los iconos estándares de Windows. Asegurar que se asignen nombres con significado a los enlaces en el escritorio y a los del menú de Inicio de Windows para poder reconocerlos de manera fácil después. Una vez que se encuentre disponible la actualización de seguridad de Microsoft se recibirá otra actualización de seguridad SIMATIC para restaurar los iconos...".
  • La actualización de seguridad SIMATIC comprueba si se ha instalado el parche de seguridad de Microsoft::
    Parche de Microsoft instalado          => la función del parche de Microsoft "Borrar iconos" se invierte (de modo que es posible trabajar con el ordenador)
    Parche de Microsoft no instalado  => Se activa la protección de icono; de no ser así, no habría protección
     
  • Enlace para la descarga (actualizado: 24.01.2011, V1.0 SP1)

    SIMATIC_Security_Update_V1_0_SP1.exe ( 9562 KB ) ; suma de comprobación ( 755 bytes )
El parche de Microsoft se encuentra disponible para cerrar los huecos de seguridad de Microsoft
Microsoft Updates
Información de seguridad
Para proteger las instalaciones, los sistemas, las máquinas y las redes de amenazas cibernéticas, es necesario implementar (y mantener continuamente) un concepto de seguridad industrial integral que sea conforme a la tecnología más avanzada. Los productos y las soluciones de Siemens constituyen únicamente una parte de este concepto. Encontrará más información sobre seguridad industrial en
http://www.siemens.com/industrialsecurity.
Respaldo de estadísticas
With this function the IDs found are listed according to number (format .txt).

Generar lista
Copiar URL
mySupport Cockpit