Beitragstyp: Produktmitteilung, Beitrags-ID: 43876783, Beitragsdatum: 01.04.2011
(4)
Bewerten

SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner

  • Beitrag
  • Betrifft Produkt(e)

Hier erhalten Sie Informationen zu aktuellen Entwicklungen und den von Siemens empfohlenen Maßnahmen im Umgang mit Stuxnet.
 

Inhalt 

 

Aktualisiert Aktueller Stand der infizierten Rechner
11.03.2011 Insgesamt 24 Siemens-Kunden weltweit aus dem industriellen Umfeld haben bislang von einer Infektion mit dem Trojaner berichtet. In sämtlichen Fällen konnte die Malware entfernt werden. In keinem dieser Fälle kam es während der Infektion zu Auswirkungen auf die Automatisierungslösung.

 

Empfohlenes Vorgehen, um einen Befall von Stuxnet zu identifizieren und zu entfernen

Wir empfehlen, folgende Rechnertypen zu untersuchen:

  1. Embedded Systeme (z.B. Microbox)
  2. Sonstige Rechner
    • Infrastrukturrechner (Fileserver, Domain Controller, sonstige Server...)
    • Rechner mit und ohne WinCC Installation
    • Virtuelle Maschinen (z.B. VMWARE Installationen);

Die einzelnen Maßnahmen sollten nach folgender Vorgehensweise durchgeführt werden:

Wichtig
Vor dem Scan sind ZIP-Dateien als Backup zu sichern. ZIP-Dateien > 1 MB sollten vor dem Scannen entpackt werden, damit die darin enthaltenen Daten mit Sicherheit gescannt werden.

A) Embedded Systeme
Diese Systeme müssen von einem zweiten Rechner aus (nicht-embedded System) über freigegebene Laufwerke gescannt werden.

  1. Den zweiten Rechner wie wie „Sonstige Rechner“ aktualisieren, um eine wechselseitige Infektion zu unterbinden; Laufwerke des Embedded Systems auf den zweiten Rechner verbinden.
  2. Auf dem zweiten Rechner den Windows Explorer öffnen => verbundene Netzlaufwerke per Rechtsklick selektieren => jeweils den entsprechenden Virenscan anstoßen.

B) Sonstige Rechner:

  1. Ermitteln Sie, ob Ihr Microsoft Windows Rechner vom Virus betroffen ist:
     
    • Verwenden Sie das Virenscan-Tool Sysclean oder die von Siemens frei gegebenen Antivirusprogramme von TrendMicro, McAfee oder Symantec mit den Pattern ab 25.07.2010
    • WICHTIG:
      Deaktivieren Sie bei den Virenscannern die Funktion "Automatically Clean Infected Files".

      ( 16 KB ) Bitte klicken Sie auf das Bild.
       

  2. Für den Fall, dass eine Infektion erkannt wurde, gehen Sie bitte folgendermaßen vor:
Sollte Ihr Rechner befallen sein, informieren Sie in jedem Fall den für Sie zuständigen SIEMENS Customer Support
Prüfen Sie gemeinsam mit dem Siemens Customer Support die weiteren Schritte für Ihre Rechnerinstallation beziehungsweise für Ihre Anlage:
  • Installieren Sie den Microsoft Patch.
  • Trennen Sie den Rechner sofort vom Netzwerk.
  • Legen Sie einen Hauptbenutzer an, bleiben Sie aber zur Durchführung des Tools SYSCLEAN und des SIMATIC Security Updates noch mit Administrationsrechten angemeldet. Bereinigen Sie den Rechner mit „Sysclean“ bei aktivierter Funktion "Automatically Clean Infected Files"

( 16 KB ) Bitte klicken Sie auf das Bild..

  • Installieren Sie das SIMATIC Security Update.
  • Booten Sie den Rechner neu. Loggen Sie sich als Hauptbenutzer ein.
  • Führen Sie einen erneuten Viren-scan mit Ihrem installierten Virenscanner aus und lassen Sie den Virenscanner permanent laufen.
  • Bitte beachten Sie, dass gepackte Dateien, z.B. Zip-Dateien, vor dem Viren-check in ein separates Verzeichnis entpackt werden. Bei bestimmten Einstellungen des Virenscanners könnten in Einzelfällen gepackte Dateien hinsichtlich eines Virenbefalls nicht vollständig überprüft werden. Mit dem Entpacken ist in jedem Fall eine komplette Überprüfung durch den Scan-Mechanismus sichergestellt.
  • Nehmen Sie den Rechner wieder ins Netzwerk auf.


Weiterhin gelten folgende Vorsichtsmaßnahmen:

  • Alle Verbindungen mit der Außenwelt (Kundendaten, USB-Geräte, Sonstiges) müssen geprüft und bereinigt werden.
  • Möglichst keine fremden USB Sticks bzw. mobile Datenträger verwenden. Grundsätzlich die Sicherheitskonzepte überprüfen: z.B. nicht benötigte Dienste abschalten/deinstallieren. Die Installation des Microsoft Patch wird für die von Microsoft genannten Betriebssysteme empfohlen.

 

Weitere technische Informationen
Wichtiger Hinweis für den Einsatz von Virenscannern im Zusammenhang mit gepackten Dateien
Bitte beachten Sie, dass gepackte Dateien, z.B. ZIP-Dateien, vor dem Virencheck in ein separates Verzeichnis entpackt werden. Bei bestimmten Einstellungen des Virenscanners könnten in Einzelfällen gepackte Dateien hinsichtlich eines Virenbefalls nicht vollständig überprüft werden. Mit dem Entpacken ist in jedem Fall eine komplette Überprüfung durch den Scan-Mechanismus sichergestellt.
 
Informationen im Zusammenhang mit den SIMATIC Steuerungen CPU 315-2 und zur CPU 417
Die Malware bringt eigene Bausteine (beispielsweise DB890, FC1865,1874) mit und versucht diese in die Zentralbaugruppe 315-2 zu laden und in den Programmablauf einzubinden. Waren die genannten Bausteine bereits vorhanden, erfolgt kein Eingriff in das Anwenderprogramm durch die Malware. Wenn im Ursprungsprogramm der CPU315-2 die genannten Bausteine nicht vorhanden waren und jetzt erkannt werden, liegt eine Beeinflussung durch den Virus vor. In diesem Fall empfiehlt sich dringend, den Originalzustand der Anlagensteuerung wieder herzustellen. Bei Verwendung der CPU 417 und einem bereits im Projekt vorhandenen DB 8061 kann dieser durch die Malware beim Download verändert werden. Ist der DB8061 im Projekt nicht vorhanden, besteht kein Handlungsbedarf.
 

Kompatibilität der Microsoft Updates mit den SIMATIC Anwendungen
Das Microsoft Patch KB2347290 wurde mit SIMATIC WinCC und SIMATIC PCS 7 erfolgreich auf Verträglichkeit getestet.
Aktuelle Informationen zu weiteren Microsoft Updates finden sie hier:
/cs/document/18490004?caller=view&lc=de-WW

Sicherheitshinweise zu Siemens Tecnomatix FactoryLink

 Siemens_Security_Advisory_SSA-630126.pdf ( 70 KB )

 

Downloads
Tool zum Erkennen und Entfernen von Stuxnet
  • Mit dem Tool Sysclean von TrendMicro können Sie auf einfache Weise erkennen, ob Ihr Rechner mit dem beschriebenen Virus befallen ist und diesen entfernen.
  • Sollte Ihr Rechner befallen sein, informieren Sie bitte den für Sie zuständigen Siemens Customer Support. Da jede Anlage individuell ist, können wir nicht ausschließen, dass das Entfernen des Virus Auswirkungen auf Ihre Anlage hat.
  • Link zum Download:

    sysclean.zip ( 4608 KB )    checksum ( 739 bytes )

    Bitte beachten Sie die Installations- und Nutzungsanweisung

  • Nach dem Start von Sysclean wird folgende Meldung angezeigt:


     
  • Laden Sie sich die neueste Signaturdatei von Trend Micro herunter und entpacken Sie diese in den Ordner, in welchem Sie "sysclean" installiert haben:
    TREND MICRO Download Center
SIMATIC Security Update

Hinweise:

  • Bitte beachten Sie die Installations- und Nutzungsanweisung - Auszug:
    "...Wenn Sie die Änderung entsprechend dem Microsoft Security Advisory "2286198" durchführen, werden Icons durch das Windows Standard-Icon ersetzt. Geben Sie vor der Installation gegebenenfalls Ihren Verknüpfungen auf dem Desktop und im Windows Startmenü sinnvolle Namen. Nach Verfügbarkeit eines Microsoft Security Updates wird ein weiteres SIMATIC Security Update zur Wiederherstellung der Icons bereitgestellt....."
  • Das SIMATIC Security Update prüft, ob das Microsoft Security Patch vorhanden ist:
    Microsoft Patch vorhanden          => Microsoft Patch Funktion „Löschen der Icons“ wird rückgängig gemacht (damit mit dem Rechner gearbeitet werden kann)
    Microsoft Patch nicht vorhanden  => Icon-Schutz wird aktiviert - sonst wäre kein(!) Schutz vorhanden
     
  • Link zum Download (aktualisiert: 24.01.2011, V1.0 SP1)

    SIMATIC_Security_Update_V1_0_SP1.exe ( 9562 KB ) ; checksum ( 755 bytes )
Microsoft Patch verfügbar, um die Microsoft Sicherheitslücke zu schließen
Microsoft Updates