前言

长期以来，病毒问题是困扰工业控制系统主机的一个棘手问题，从大名鼎鼎的震网病毒到2015年岁末的BlackEnergy，这些如鬼魅般游荡在工业控制系统网络中的杀手总是伺机而动，一旦得手往往就是石破天惊。

工业主机的白名单防护思想日渐深入人心，但是在实际项目中一旦遇到已经长期服役的工业主机，还是要大费周章，病毒查杀工作就是一个重要并且繁琐的工作。小威今天就带大家去项目现场领略一番。

项目背景

在2016年小威很忙碌，也很自豪，随着公司的日益壮大和工控安全市场的逐步升温，小威的身影穿梭在一个又一个工业现场，为众多的基础工业行业客户量身打造工控安全“白环境”解决方案，为安全生产保驾护航。

除了电力、石化等国家基础工业领域，与民生密切相关的市政系统也分布了大量的工业控制系统，做好这部分的安全防护工作，同样意义重大。功夫不负苦心人，在经过长时间的技术交流和对比测试后，某燃气公司最终选择了威努特的解决方案。消息传来，公司上下都是相当振奋，这是在燃气行业的第一个项目，重要性不言而喻，示范效应不言而喻，小威的压力也是不言而喻……...

该燃气集团公司为国有控股上市企业，经营范围包括燃气供应，输、储、配、销售一体化，同时还涉及管网的设计、制造、安装、维修、销售、管理、技术咨询，区域供热、供冷、热电联产的供应，燃气高新技术开发、管材防腐加工、燃气具销售等经营业务。简言之，业务覆盖面广，用户体量大，小威甚至想：如果燃气系统被黑客攻击，老百姓吃不上热乎饭了都是小威的责任，所以这项目不但要高质量完成，也要短时间内完成。

奔赴一线

现场发现，燃气公司所有操作员站和工程师站平时通过网络共享或U盘拷贝文件，但没有安装杀毒软件和其他安全软件（不是不想装，而是有隐情）。在项目实施开始后，所有主机在部署安装可信卫士前的杀毒过程中均发现有病毒，经过技术分析，确认主要有马吉斯、acad.lsp病毒，其中马吉斯病毒会破坏全盘exe文件，且非常顽固，使用常规方法难以杀净，此问题一度导致施工暂停，项目进度岌岌可危。

有些读者可能会说了，为什么不重做系统，重新安装软件呢？其实呢，这也是小威的终极杀手锏，自认是攻无不克，战无不胜的，但是这次是老革命遇到新问题了，究竟是什么问题？且听小威给您慢慢道来。

燃气公司主机主要使用OASyS SCADA系统，OASyS SCADA系统通过ODBC, XML, ADO, JDBC,OLEDB, SQL, JAVA, SOAP等开放的连接标准语言和程序实现软件之间的连接，实现内部数据与外部数据资源的自由交换。看到这里，您也许会想：罗列一堆技术名词，也没看出来与众不同之处啊，那么下面就是关键所在：由于OASyS SCADA软件授权过程复杂、价格昂贵（任何情况下导致的授权失效，供应商不负责，需要重新购买，关键是价格相当高），如果按照常规杀毒流程，很可能会破坏软件授权，授权一旦破坏，无法恢复，只能重新采购。什么重做系统之类的更是想都不要想了。

合力攻关

小威与公司总部的开发人员、测试人员及时沟通并成立攻关小组，前端人员也与OASyS SCADA代理商取得联系，派技术人员去代理商公司的环境中复现问题，并研究解决方案。经过几天的多方努力后，攻关小组初步确定了一套安全、彻底的杀毒方案，小威在现场谨慎测试后在所有场站进行病毒处理，迅速清除了影响用户工控系统的顽固病毒，按期保质完成了项目的全部实施工作。

让我们看看让小威束手无策的病毒是何方神圣（其实也不是小威不能强行杀毒，但是想想那高昂的授权，这损失可是小威不敢想象的。当然从严谨的工作态度来讲，任何工业现场的小问题，我们都要谨慎、合理的加以处理。）

马吉斯病毒

一、  病毒特点：

“马吉斯病毒”能够感染windows系统，并且既是病毒又具有蠕虫的特性，“马吉斯”除了以电子邮件附件形式传播，还可以以复制文件形式传播。

二、 现场病毒现象：

1）  C盘windows目录或system32目录下新增linkinfo.dll、nvmini.sys等文件；

2）  部分exe文件被感染，在原有文件大小基础上增大约40K，染毒的exe文件签名不变、修改时间不变，各本地盘符根目录下的“system volume information”文件夹内陆续生成很多染毒exe文件（几十到上千个不等）；

3）  文件夹选项-显示隐藏的文件、文件夹和驱动器，选择后确定无效；

4）  导致操作系统运行速度极慢，甚至与部分软件冲突发生系统蓝屏；

5）  初始阶段通过杀毒工具进行病毒查杀，重启电脑运行OASySSCADA软件，再次查毒，又会发现被感染的文件，证明很难一次性将病毒清除干净，而OASySSCADA软件的可执行文件众多，反复查杀的工作量和时间成本难以估量。

三、  现场查杀步骤：

经过公司技术专家在实验室内反复试验，最终通过如下过程中能彻底清除病毒：

1）  下载如下四个软件：360顽固木马专杀工具、超级巡警、systemRepairEngineer(SRENG)、瑞星专杀MagistrKiller（MagistrKiller.exe）；

2）  重启按F8进入安全模式，安装MagistrKiller后运行查杀；

3）  运行360顽固木马专杀工具查杀；

4）  手动删掉C:\WINDOWS\AppPatch\AcLua.dll、C:\WINDOWS\AppPatch\AcSpecfc.dll、C:\WINDOWS\system32\drivers\eth8023.dll；

5）  打开SRENG,安装,然后删除LINKINFO.DLL驱动；

6）  重启后，打开360安全卫士，结束explorer.exe进程。用360安全卫士查杀恶意软件，这时linkinfo已经可以杀掉了；

7）  用超级巡警和360安全卫士再次查杀。

Acad.lsp病毒

一、  病毒特点：

该病毒利用CAD的读取机制，在第一次打开从网上下载的带有病毒的图纸后，该病毒后台运行，感染每一张新打开的图纸，生成很多名为acad.lsp的程序。病毒导致CAD变的非常慢，并且一些运行于CAD上的二次开发软件的命令变的不可用。

二、  现场病毒现象：

该病毒感染lsp图纸文件，对系统正常运行基本无危害，使用360、麦咖啡均可一次查杀。

三、  现场查杀步骤：

使用360、麦咖啡进行全盘查杀。

回顾

项目最终顺利做完，小威也算是不辱使命，但是回头想想那高昂的授权，小威还是心有余悸。总结小威驰骋工业现场多年的项目经验，工业现场的病毒问题真是一个让人一言难尽的话题。 

一、现状

大多工业现场的主机老旧，超期服役的不在少数，WindowsXP、Windows2000这样古董级的系统依旧在顽强的发挥生命最后的余热，但是这就反映一个问题：这样的工业控制系统已经建成很多很多很多年，一旦由于操作不当导致崩溃，可能都找不到原来的安装文件，更有甚者原来的集成商也改朝换代了无踪迹。

工业现场的主机往往没有防病毒措施，即便是有，大多数也是在滥竽充数（处于关闭状态或者病毒库不升级），用“裸奔”来形容工业主机毫不为过。

现场操作中，移动存储设备的使用和管理很多是无序的，一个U盘，可能从办公区到生产区再到员工家里这样周而复始的使用，那么很不幸，感染病毒是正常的。

二、原因

工业现场稳定性压倒一切，在没有迫切需求的情况下，一套系统可以包打天下。操作人员工作习惯养成后，更不愿意主动去适应新技术、新产品。

工业现场的相对封闭性，使得补丁升级、病毒库升级变成一件很复杂的事情，在这种情况下，只要没出大问题，能用的东西就会一直用下去，因此从工业现场找到一个很原始的操作系统版本或者找到一个很古老的病毒样本都是一件很简单的事情。

工业控制相关的软件都是专业软件，和传统防病毒软件在兼容性方面测试不够充分，因此这也是造成工业主机爱“裸奔”的一个重要原因，甚至有部分工业控制系统生产商明确告诉客户：“如果因为安装了某某病毒软件导致系统异常，我们概不负责。”（小威只能表示呵呵了）

 三、解决方案

基于“白名单”思想的主机防护软件是解决上述问题一剂良药，低开销、全兼容、无需升级库文件等优势让其真正抓住了工业企业的客户需求，操作简单的特点也符合一线操作人员的操作习惯，移动存储设备的管控功能、配套安全U盘等技术手段也能解决客户现场数据交换的需求。小威也在幻想，如果哪天工业现场都装上了威努特的主机卫士，是不是自己杀毒的手艺无用武之地了呢？

小威介绍

北京威努特技术有限公司（简称“威努特”）是国内专业的工控安全解决方案供应商。公司组建了一支由业界资深技术专家及优秀管理人才组成的专业化团队，致力于为客户提供工控安全整体解决方案与产品服务。威努特一直坚持在工控安全领域深耕细作，获得政府部门和众多客户的高度认可，是国家工控安全实验室理事单位，工控安全相关国家标准制定和信息安全等级保护规定修订的重要参与者和推动者，2016年公安机关网络安全执法检查技术支持单位。威努特作为G20杭州峰会网络安全保卫工作技术支持单位，其努力和成果受到G20安全保卫组的表扬和感谢，还被国内多家网络安全专业媒体评为工控安全行业领军企业。

 迄今为止，威努特已经在包括国家电网、南方电网、五大发电集团、三大核电集团、石油、石化、冶金、装备制造等国家基础工业领域成功实施了数十个工控安全项目，有力保障国家工业网络空间安全；与国内数十家科研院所、高等院校以及测评机构合作进行工控安全前沿性技术研究，带动了国内工控安全领域技术上的进步与发展；在燃气和轨道交通等与民生紧密相关的工业领域，威努特的工控安全解决方案也取得全面突破，树立了行业标杆。