Was aber wirklich interessant ist, dass hier sehr findige PCS7-Programmierer am Werk sind.
Die Analyse muss Monate gedauert  und etliche € verschlungen haben.
Allein die Hard- und Software von Siemens  kostet schon ~10t €.
PCS7 ist ein relativ neues System(~1996) und löste mit grundlegend anderer Hard- und Software die bekannten S5-Systeme, die mit Interrupts arbeiteten, ab.

Die Infektion der SPS mit gefälschtem Code, während derAnwender davor sitzt, zeugt von unglaublichem Wissen.
Stuxnet manipuliert im Hintergrund die Daten, die über MPI-Interface oder einen per Ethernet angeschlossenen Rechner an eine 300er oder 400er S7, die über eine Profibus-DP Anbindung verfügen, gesendet und empfangen werden.
Die veränderten Dateien der Simatic PCS7-Software leiten die uninteressanten Daten einfach durch, während sich neuer Code einfügt und geschickt im RAM der SPS  mit Funktionen eines Rootkit versteckt.
Dazu nutzt Stuxnet den produktspezifischen Assembler MC7, mit dem sich nur absolute Freaks beschäftigen.
Dies kann dann dazu verwendet werden, autom. Systeme jeder Art zu manipulieren und sich trotzdem nach außen hin als vollkommen funktionstüchtig darzustellen.
Beispiel gefällig? Leitsystem(WinCC) gibt Befehl “ Schleuse schließen“, kompromittierte S7-SPS gibt an WinCC zurück „Schleuse ist geschlossen“ während sie auffährt.
„Search and destroy“ bekommt bei der SPS-Programmierung sicherlich einen festen Platz und ich traue kaum einem S7-Programmierer zu, so was schnell zu erkennen.
Eine Bereinigung der SPS durch ein „Update“ ist keinesfalls möglich. Das lässt der Aufbau eines SPS-Programms nicht zu.
Hier hilft nur „format c:“ sprich: Einspielen einer sauberen Version des Projekts mit einem sauberen Programmiergerät.
Aussagen anderer in Bezug auf das SPS-Programm sind schlichtweg falsch!
Wenig aussagekräftige Hinweise von Siemens gibt es hier. Was soll man auch erwarten, alles halb so schlimm…
Er schädigt übrigens (bisher) nur ein einziges SPS-Programm mit Funktionsbaustein 1874 und OB35.
Nur, zu welchem Zweck?

Das Betriebssystem Windows, in allen Versionen, muss natürlich auch massiv beeinflusst werden.
Dazu nutzt Stuxnet gefälschte/gestohlene Zertifikate von Jmicron und Realtek, ein BHO und einen eigenen RPC-Server zum gegenseitigen Update der befallenen Systeme. Ob ein Virenscanner hier sämtliche Teile wieder herstellen kann, bleibt abzuwarten… Siemenssoftware gilt als zickig. Dem Programmierteam ist es aber auch gelungen eine DLL komplett nachzubauen und eigene Sachen unterzubringen.
Zur Infektion werden u.a. folgende Schwachsinnsstellen in Windows ausgenutzt:
MS08-067
MS10-046
MS10-061

Deweiteren wurden folgende IPs kontaktiert (Klicken gibt nur Info):
78.111.169.146
193.95.161.220

Die auch als mypremierfutbol.com und todaysfutbol.com registriert sind/waren und jetzt natürlich auf der schwarzen Liste stehen.

Conclusio: Diese Art von Virus ist so komplex, dass  es eine Vielzahl von Menschen braucht. Hier wurden für jeden Teil mehrere Spezialisten benötigt, die teilweise über Insiderwissen verfügt haben müssen bzw. Helfer gehabt haben müssen:

• Zertifikate stehlen und fälschen
• ein BHO von Acrobat fälschen
• einen RPC-Server programmieren (Ok, ist nicht wirklich schwer)
• die Funktionen von PCS7 analysieren und verstehen!!
• FCs und DBs manipulieren
• die org. DLL disassamblen oder den source stehlen(was wahrscheinlicher ist)
• die versch. Injektionsmethoden für die versch. S7-CPUs und CPs entwerfen und programmieren
• die gewonnen Infos für eine eigene DLL verwenden, die zus. die neuen Funktionen zum Lahmlegen enthält
• Guava und Myrtus als Klartext hinterlassen
• den Krempel in ein Paket schnüren
• und auf vielen Rechnern in vielen Ländern hinterlassen

Das wird interessante Varianten nach sich ziehen, da man unliebsame Konkurrenz mal ebenso „Schach matt“ setzen kann.
Ich bin gespannt…

PS: Einen Dank an Ralph Langner

Berichtigung und Ergänzung vom 30.09.2010:
Es reicht zur Manipulation ein WinCC-Volllklient, also ein Sichtgerät.
Und vielen Dank für die hilflosen Hinweise des BSI.

Um es klar zu stellen:
Diese Art von Manipulation ist nur durch Umstellung der Hard- und Software der Step 7, PCS7, WinCC, und wie auch immer man das Konstrukt nennen will, zu beheben.
Die Windowsschwachstellen sind absolut nebensächlich, da findet sich jede Woche eine neue Möglichkeit.
Ob dass der obskure USB-Stick ist, eine CD, DVD, Email oder eine 5 1/4″ Diskette ist, ist doch vollkommen nebensächlich.
Welche Idioten schreiben eigentliche diese Artikel?
Es liegt auch nicht daran, dass gecrackte Siemenssoftware benutzt wurde.

Dieses Programm sucht nach einer SPS um sie zu manipulieren, mehr nicht, bisher oder bushehr!

Das Zuhören-Gen fehlt leider den Mainstream-Journalisten.

Update 05.10.2010:
Boah, es heißt SPS und nicht PLC!
Abschreiben gilt nicht, erst recht nicht, wenn man keine Ahnung hat!

Als hilfreich hat sich bei vielen MSI-Paketen Uniextract erwiesen, da damit leicht eine administrative Installation ausgeführt werden kann, d.h. die enthaltenen Dateien werden aus dem Paket extrahiert und das MSI-Paket „schmilzt“ auf das Notwendigste zusammen. Dies geht natürlich auch mit Schaltern der msiexec.exe, aber so ist es komfortabler.

Orca als MSI-Editor

Als 1. Beispiel verwende ich Orca um Win Install LE 2003 ohne Onlineverbindung zu installieren.  Mittlerweile gehen einfach zu viele Programme davon aus, daß jeder Rechner eine Verbindung zum Internet hat. Da man die Programmdateien nicht verändert, ist dieses Vorgehen absolut legitim. Außerdem ist so eine unbeaufsichtigte Installation möglich.

1. „wininstallle.exe“ starten
2. TEMP-Ordner überwachen, bis ein zusätzlicher Ordner („ONDxxx“) darin erstellt wurde.
3. „WinINSTALLLE.msi“ aus diesem Ordner an einen anderen Ort kopieren.
4. „wininstallle.exe“ abbrechen und beenden.
5. Uniextract auf WinINSTALLLE.msi (Uniextract in Unterverzeichnis -> administrative Installation) anwenden. Jetzt werden die Ordner und Dateien entpackt.
6. In den Unterordner „WinINSTALLLE“ wechseln und (die kleine) „WinINSTALLLE.msi“ mit Orca öffnen.
7. Da die Internetverbindung bei der Installation benötigt wird,  stehen die Bedingungen unter „ControlCondition„. Hier suchen wir nach möglichen Verweisen.  Unter „UserRegistrationDlg“ findet man „EMAILADDRESS = „. Weiter nach „UserRegistrationDlg“ suchen, führt zu vielen Verweisen, aber nichts zeigt auf ein Abschalten der Funktion, bis auf die  Tabelle: „Property“ -> „ShowUserRegistrationDlg“ -> „Value=1„. Dieser Wert wird auf „0“ gesetzt und nach Speichern und Ausführen des Pakets überspringt die Installation die Abfrage der „UserRegistration„.

Als 2. Beispiel nehme ich Cyberlink PowerDVD 7 und lösche den nervigen Anmeldebildschirm, der sporadisch beim Start von PowerDVD erscheint. Auch hier wird wieder vorrausgesetzt, daß eine Verbindung zum Internet besteht.

1. Hier hat man nur eine ausführbare Datei „setup.exe“, welche man aber wie im 1. Beispiel (entsprechend Punkt 1. – 4.) entpacken lassen kann.  Im entsprechenden TEMP-Ordner findet man nun alle nötigen Dateien.
2. Das Programm heißt hier OLRSubmission.exe, also sucht man nach „OLRSubmission“ im gesamten Paket und löscht alle Zeilen, die „OLRSubmission“ enthalten, speichert ab und schließt Orca.

Nachtrag:
Mittlerweile gibt es eine neue Version WinINSTALL LE 10.00.0040, da die Fa. scalable jetzt für das Programm zuständig ist.
Sie kann hier heruntergeladen werden. Das Prinzip der Umgehung hat sich entscheidend geändert.

Punkt 1. – 6. aus der Anleitung oben durchführen.
7. Table „ControlEvent“ öffnen und zu Argument „CheckRegistrationInfo“ gehen,  „Condition“ von 1 auf 0 setzen.
Speichern, beenden und installieren…

Da bei diesem Paket auch andere Veränderungen vorgenommen werden können, gehe ich hier nicht auf weitere Erklärungen ein.