Stuxnet1 - это очень интересный вирус (ниже я написал, как этот вирус повлиял на создание ядерного оружия). Он использует несколько технологий распространения.
Одна из них - это новая дыра, которую вирус использовал самым первым. Именно в ходе анализа вируса выявили, что за дыра и как вирус ее использует.
В двух словах на флешке создается обычно 2 ярлыка, которые похожи на случайные. Но как только эти ярлыки начинают просто показываться на экране, то вирус сам запускается. Т.е. Вы просто открыли папку с вирусом, а он сам запускается.
Более того не важно открыли Вы папку в Explorer или в Totalcmd - вирус использует дыру в операционной системе и сам запускается.
Теперь о вирусе: это детективная история. Самая настоящая. Опишу, что знаю я о ней.
И так вирус написан очень грамотно. Вирус технически один из самых сложных, если не самый сложный. Он использовал минимум 2 разные, ранее неизвестные уязвимости в Windows.
Может распространяться через флешки, даже без автозапуска (как в Вашем случае), так и по локальной сети, причем не через сетевые диски, а используя службы принтеров. Т.е. если в Вашей компании используются принтеры по сети - есть шанс, что вирус может распространиться.
Есть минимум 4 варианта вируса. Чаще всего при заражении флешки создается файл "Copy of Shortcut to.lnk" - если видите такое название на Вашей флешке, значит скорее всего Вы уже заражены.
Но и это не всё. Попав на компьютер, вирус начинает проверять нет ли на этом компьютере или в локальной сети компьютеров, на которых программируют микроконтроллеры производства Siemens.
Тут и начинается самое интересное. Я сделаю отступление и скажу, что я несколько лет занимался работой с системами автоматизации на базе микроконтроллеров из серии Siemens step 7. Это достаточно производительные и эффективные средства позволяют автоматизировать очень-очень сложные производства.
Я их обслуживал и немного программировал (сами контролеры в т.ч.). Там очень интересные средства разработки. Начиная от аналога ассемблера, до не похожих на другие средства разработки, использующие разные подходы. За это время я официально обучился 3 самым простым языкам (STL, LAD, FBD - аналог ассемблера, аналог схем и еще один блочный язык) и в работе использовал еще несколько сложных языков (включая Graph, но не только), которым просто компания не могла позволить обучить в Казахстане (в СНГ нет специалистов, которые обучали этому), а в Европу на обучение я сам не захотел ехать (но это другая история).
Но суть в другом. Эти контролеры используются только на сложных промышленных производствах. Причем на дорогих и сложных, так как для более простых производств есть более дешевые варианты того же производителя.
Так вот вирус анализирует свое окружение и если видит, что один из компьютеров имеет средства для разработки программ под Step 7, то заражает средство разработки и если есть связь с контроллером, то программа подключается к контролеру и меняет в нем очень интересно программу управления. И берет оттуда часть информации.
Кто дочитал до сюда - молодцы. А теперь дальше. Зачем вирусу что-то менять в каких-то производственных микроконтроллерах? А всё не так просто. Когда первые антивирусные лаборатории столкнулись - они были ошарашены сложностью программ. Они до сих пор разбираются, а уже скоро будет год как впервые нашли вирус.
К чему в данный момент пришли аналитики. Во-первых, решили, что это не просто вирус, а средство для технической диверсии и возможно шпионажа. Во-вторых, у него очень странный ареал распространения - больше всего зараженных компьютеров первые месяцы были в Иране (а также еще несколько стран региона вошли в число стран первыми ощутившими шквал этого вируса). Еще в десятку стран, где распространился вирус входили страны находящиеся поблизости и даже Казахстан (одно время в Казахстане этот вирус распространился больше чем во всей Западной Европе). В третьих, вирус настолько сложен, что его вряд ли писал один человек или даже группа любителей, это продукт сложный, скорее всего выпущенный не простыми людьми, а какой-то страной. Да-да, считается, что это продукт написанный скажем группой программистов, работающих на одну из развитых стран мира.
Соответственно, сейчас основное предположение, что вирус был произведен в Израиле и должен был проникнуть на компьютеры, на которых следят за работой ядерных объектов в Иране. Напомню, что Иран имеет несколько производств, которые могут производить как топливо для ядерной станции, так и для ядерной бомбы.
Предполагается, что вирус намеренно распространили в Иране, чтобы он попал в итоге на ноутбук одного из программистов, который подключившись к микроконтролерам заразил бы их. Далее вирус не сразу что-то удалял в контролере, а незначительно менял его работу.
Но так как на производстве эти контролеры стоят в большом количестве (я например более десятка обслуживал и многие были не связаны между собой), то вирусу должен был даться шанс проникнуть на все и путем незначительных изменений в работе вызвать каскадный эффект и вызвать крупную аварию.
Я лично поддерживаю эту теорию, хотя и не уверен, в какой стране разработан этот вирус.
Действительно сложные производства управляются не компьютерами, а микроконтролерами. А они уже программируются с компьютеров под управлением Windows. И если у тебя нет возможности заслать диверсанта на производство, то ты можешь распространить вирус, который это сделает.
Так что, erbi_admin сожалею, но Вы возможно стали случайной жертвой борьбы крупных стран за обладание ядерным оружием. Могу сказать, что для Вас вирус неопасен. Но в Казахстане я знаю несколько производств, которые используют данный вид микроконтроллеров и у меня сердце кровью обливается, понимая, что их программируют и обслуживают люди, которые, скорее всего об этом вирусе ничего не знают и защититься от него не могут.
Я раньше (несколько лет назад) общался с местными специалистами из казахстанского ТОО Siemens, отвечающего за продажи систем автоматизации в РК - они грамотные парни, надеюсь своих клиентов предупредили. Сам я от программирования микроконтроллеров. Но опыт их программирования не сравним с созданием обычных программ - если у кого будет свободное время, почитайте в сети хотя бы как программировать на STL, LAD, FBD - и это будет только самая верхушка, самое простое. На деле всё еще интереснее. Это совершенно другой подход.
А для тех кто далек от программирования скажу, что это пример как компьютерный вирус может влиять на политику и безопасность в мире. Есть мнение экспертов по безопасности (не компьютерной, а ядерной и политической), что этот вирус вызвал всё-таки аварию в Иране и отодвинул ядерное производство в Иране на пару лет назад. Теперь им придется заново создавать несколько важных цепочек производств, которые пострадали в аварии.
Так что этот вирус войдет в историю как, возможно, первый вирус повлиявший на создание ядерного оружия. Конечно, важно подчеркнуть, что это просто одна из наиболее вероятных теорий о создании вируса в соседствующих странах Израиль/Иран. Точных доказательств возможно мы никогда не увидим. Ясно одно - это первый вирус, который выделился на промышленный уровень, вирус который вмешивается не в работу компьютера, а специальных автоматизированных систем управления производством.
А если Вы подозреваете, что в Вашей компании могут использоваться микроконтроллеры Siemens и Вы хотели дополнительно проконсультироваться по этому вопросу можно обсудить в этой теме или пишите на ящик
support-bb@f2.kz - это правда очень опасный вирус для технологических производств. Недавно поступали данные, что вирус попал на несколько заводов, производств и систем управления техническими объектами (например, на электростанции, различные заводы и т.д.).
Два месяца назад компания Siemens подтвердила как минимум 15 случаев проникновения этого вируса на системы управления сложными производствами в разных частях мира.
Да, и еще для справки: по данным Лаборатории Касперского Казахстан и Россия сейчас входят в 10 самых зараженных этим вирусом стран.
На веб стал посматривать из за совместимостью с оутпостом. Они вроде как в паре не плохо работают.
Вывод очевиден, на таких предприятиях необходимо переходить на линукс. Причем собирать его необходимо из исходников, полностью контролируя весь процесс, дабы исключить системные закладки, процессы запускать исключительно под чрутом от имени юзера типа нободи, и самое главное - визически перерезать провод ведущий во внешний мир (инет)
![[Новость]](http://bb.f2.kz/ru/styles/prosilver/imageset/icon_topic_reported.gif "[Новость]"){kind=icon}