安全公告：CN-SA10-03
发布日期：2010年07月23日 
事件类型：木马
事件评估：严重

事件描述：
    7月19日德国西门子公司(Siemens AG)发布声明，证实其广泛使用的工业控制系统受到黑客制造的恶意代码攻击。这个名为Stuxnet的恶意代码利用了微软最新曝出的“Microsoft Windows快捷方式自动执行漏洞”高危0day漏洞，并借助U盘进行传播，目标是入侵西门子的Simatic WinCC和PCS 7数据采集与监视控制系统（简称SCADA系统）窃取工业信息。
    本次事件是一起利用0day面向工业领域的大规模恶意代码事件，而SCADA系统可以广泛应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域，所以事件受到广泛关注。目前，西门子正在调查此事，但尚未评估该恶意代码对西门子SCADA软件的影响和危害。一般来说，控制器和控制系统是在相对封闭的网络里面，采用工业通信协议进行通信。本次Stuxnet发起的攻击并没有直接针对工业控制网络，而是针对控制网络内的控制中心，即是西门子SIMATIC WinCC产品，其是运行于Microsoft Windows 2000和XP下的Windows控制中心。 
    Stuxnet所利用的“Microsoft Windows快捷方式自动执行漏洞” 几乎涉及Windows XP以后的所有操作系统。当用户访问存有攻击者精心构造的快捷方式的目录时，无论其是否禁用自动运行功能，该恶意代码都会被触发执行，并释放两个驱动程序文件: mrxnet.sys和mrxcls.sys。这两个文件被放置在％SystemRoot％ system32 drivers目录下，并且都盗用了一些正规厂商的数字签名，用以绕过安全软件的查杀。

解决方案：
    1、微软已发布了一个FixIt小工具修复“Microsoft Windows快捷方式自动执行漏洞”，能实现禁用.lnk和. PIF文件的功能，然而此为临时解决办法（workaround），并非正式补丁。CNCERT建议管理员应首先对它进行测试，然后再考虑广泛部署该解决方法。
    2、西门子公司建议客户检查其安装了WinCC的电脑是否感染该恶意代码。西门子推荐使用 趋势科技、McAfee和赛门铁克公司的最新版本检测该恶意代码。
    3、安全机构BKIS提供了一个工具软件，可以检测所有利用“Microsoft Windows快捷方式自动执行漏洞”的恶意代码。下载地址见参考链接<4>。

参考链接： 
    <1> http://www.sea.siemens.com/us/News/Industrial/Pages/WinCC_Update.aspx 
    <2> http://www.us-cert.gov/control_systems/pdf/ICSA-10-201-01%20-%20USB%20Malware%20Targeting%20Siemens%20Control%20Software.pdf 
    <3> http://www.cert.org.cn/articles/bulletin/common/2010072125074.shtml 
    <4> http://blog.bkis.com/en/wp-content/uploads/2010/07/BkavDetectShortcutFileVirus.exe 

安全报告文档编写：
    中国反网络病毒联盟（ANVA）

-----------------------------------------------------------------------------------
    中国反网络病毒联盟（ANVA）是由中国互联网协会在网络与信息安全工作委员会中发起成立的、由国家互联网应急中心具体组织运作的专门的工作组，致力于通过行业自律机制开展互联网网络病毒的防范和治理工作。

    在发布安全公告信息之前，ANVA都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

    我们鼓励所有计算机与网络安全研究机构以及各企事业单位和个人用户，向我们报告网络病毒信息甚至提供样本。我们将对所有相关信息进行验证并在CNCERT网站和ANVA网站发布安全公告并指导用户采取措施以避免损失。

    如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn