周地福，李三青，何超健

廣州醫(yī)科大學(xué)附屬第二醫(yī)院 1 醫(yī)療設(shè)備科，2 信息科 （廣東 廣州 510260）

單光子發(fā)射計(jì)算機(jī)斷層成像（single-photon emission computed tomography，SPECT）作為一種大型核醫(yī)學(xué)影像設(shè)備，在臨床醫(yī)學(xué)診斷領(lǐng)域具有較高的應(yīng)用價(jià)值，廣泛用于骨骼、甲狀腺、心臟等器官病變的臨床檢查[1-4]，在使用過程中將放射性核素標(biāo)記的藥物注射到患者體內(nèi)，由于放射性核素的不穩(wěn)定性，藥物進(jìn)入組織及器官后逐漸衰變，同時(shí)釋放伽瑪射線，SPECT 晶體探測器（伽瑪射線探頭）多個(gè)角度實(shí)時(shí)采集組織及器官中釋放的伽瑪射線，通過重建后形成圖像[5-6]。由于放射性核素的衰變特性，其標(biāo)記的藥物具有時(shí)效性，且較為昂貴，注射后需要在規(guī)定時(shí)間內(nèi)完成采集工作[6-7]。因此，在整個(gè)采集工作中，對設(shè)備的穩(wěn)定性要求較高，一旦故障，需要盡可能快速修復(fù)。本研究通過對SPECT/CT 采集工作站藍(lán)屏重啟故障的分析及修復(fù)，為設(shè)備生產(chǎn)廠家、設(shè)備使用部門、設(shè)備管理部門、信息部門以及維修工程師提供借鑒，從而減少相關(guān)損失。

1 SPECT/CT 基本結(jié)構(gòu)與配置

本研究SPECT/CT 為2018年安裝的西門子Symbia Intevo 6型，設(shè)備基本結(jié)構(gòu)如圖1所示。專用重建計(jì)算機(jī)（dedicated reconstruction system，DRS）工作站用于分子圖形重建，采用惠普Z420型計(jì)算機(jī)，未配置獨(dú)立顯示輸出，通過網(wǎng)線連接于整機(jī)系統(tǒng)控制計(jì)算機(jī)（image control system，ICS）采集工作站。ICS 采集工作站主要用于整機(jī)設(shè)備的日常操作、圖像采集、故障診斷等，采用富士通ETNA-S-D3128型計(jì)算機(jī)，安裝Windows 7旗艦版X32/X64操作系統(tǒng)，配置顯示輸出及3個(gè)網(wǎng)絡(luò)端口，通過局域網(wǎng)與DRS 工作站和圖像重建計(jì)算機(jī)（image reconstruction system，IRS）工作站進(jìn)行通信，剩余的1個(gè)網(wǎng)絡(luò)端口則連接至醫(yī)院內(nèi)網(wǎng)。IRS 工作站用于CT 圖像的重建，采用富士通ETNA-S-D3128型計(jì)算機(jī)，未配置獨(dú)立顯示輸出，通過網(wǎng)線連接于ICS 采集工作站。syngo 后處理工作站對ICS 采集工作站采集的圖像進(jìn)行后處理操作，采用惠普Z840型計(jì)算機(jī)，通過網(wǎng)線連接至醫(yī)院內(nèi)網(wǎng)，通過醫(yī)院內(nèi)網(wǎng)局域網(wǎng)和ICS 采集工作站進(jìn)行通信。

圖1 西門子Symbia Intevo 6型SPECT/CT 基本結(jié)構(gòu)

2 故障現(xiàn)象、分析、修復(fù)及病毒檢測

2.1 故障現(xiàn)象

SPECT/CT ICS 采集工作站不定時(shí)藍(lán)屏重啟，且提示信息隨機(jī)，提示信息包括“srv.sys”代碼為0X00000050、“BUGCODE_USB_DRIVER”代 碼 為0X000000F、“BAD_POOL_HEADR”代碼為0X00000019，如圖2所示。

圖2 SPECT/CT ICS 采集工作站不定時(shí)藍(lán)屏提示信息

2.2 故障分析

通過查詢計(jì)算機(jī)藍(lán)屏相關(guān)報(bào)道[8-10]可知：0X00000050代碼提示內(nèi)存故障、不兼容的軟件、損壞的NTFS 卷以及硬件故障等；0X000000FE 代碼提示指定的延伸屬性名稱無效；0X00000019代碼提示磁盤驅(qū)動器在磁盤找不到特定的扇區(qū)或磁道。綜上，無法得到明確的故障指向，于是查閱類似型號SPECT/CT 故障維修案例[11-15]，但并未發(fā)現(xiàn)相關(guān)報(bào)道，因此，只能逐步排查?？紤]ICS 采集工作站為SPECT/CT 專用計(jì)算機(jī)，廠家對Windows 系統(tǒng)進(jìn)行封裝處理，即ICS 采集工作站開機(jī)后跳過Windows 系統(tǒng)直接進(jìn)入應(yīng)用軟件，以及沒有該型號SPECT/CT專業(yè)維修手冊，整個(gè)故障排查較為困難，尤其是反復(fù)藍(lán)屏重啟過程中沒有機(jī)會進(jìn)入軟件排查故障原因，導(dǎo)致從軟件系統(tǒng)方面入手較為困難，于是優(yōu)先進(jìn)行硬件排查。

計(jì)算機(jī)藍(lán)屏故障原因可能為內(nèi)存損失或接觸不良，虛擬內(nèi)存過度，中央處理器（central processing unit，CPU）超頻，硬盤故障，中病毒/網(wǎng)絡(luò)病毒攻擊，溫度過高，電源不穩(wěn)定，機(jī)箱內(nèi)部灰塵過多等[16-18]。

根據(jù)藍(lán)屏原因以及設(shè)備特殊性，大致確定故障排查方案及順序如下：（1）硬件排查，考慮硬件容易著手，且引發(fā)藍(lán)屏的可能性較大；（2）軟件排查，考慮應(yīng)用軟件系統(tǒng)已被封裝，不易操作；（3）工作站外圍附件排查；（4）重裝系統(tǒng)和應(yīng)用軟件，考慮SPECT/CT 軟件較為復(fù)雜，且安裝時(shí)間較長，以及重裝后可能難以恢復(fù)原始的最優(yōu)配置，則不輕易重裝系統(tǒng)和應(yīng)用軟件。

硬件排查：（1）清潔環(huán)境，由于灰塵容易產(chǎn)生靜電引起干擾導(dǎo)致藍(lán)屏重啟現(xiàn)象，所以首先清潔機(jī)箱內(nèi)部每個(gè)部件，清潔后藍(lán)屏重啟依然存在；（2）內(nèi)存條測試，主板上有兩條4 GB 內(nèi)存條，依次采用單條內(nèi)存測試，測試后藍(lán)屏重啟現(xiàn)象依舊存在，暫時(shí)排除內(nèi)存原因；（3）硬盤測試，ICS 采集工作站共有4塊機(jī)械硬盤，由此組成磁盤陣列，依次檢測每塊硬盤，并未發(fā)現(xiàn)損壞跡象，且ICS 采集工作站開機(jī)瞬間顯示4塊硬盤自檢均通過的信息，暫時(shí)排除硬盤原因；（4）查看CPU，拆開CPU 散熱器，硅脂已干燥和硬化，重新涂上硅脂，開機(jī)后依舊存在藍(lán)屏重啟現(xiàn)象。

軟件排查：將SPECT/CT 進(jìn)入維修模式，查看錯(cuò)誤日志，日志僅提示工作站問題，并沒有明確指向，由于ICS 采集工作站W(wǎng)indows 系統(tǒng)已被封裝，難以從Windows 系統(tǒng)層面排查問題，且無法確定能否安裝殺毒軟件，所以軟件排查無從著手。

工作站外圍附件排查：拆除ICS 采集工作站外圍所有連接線，包括3條網(wǎng)線、機(jī)架數(shù)據(jù)電纜線等連接線，而后開機(jī)觀察一段時(shí)間，并未出現(xiàn)藍(lán)屏重啟現(xiàn)象，說明故障來自于工作站外圍附件，于是依次測試外圍連接線，經(jīng)過多次接入和斷開內(nèi)網(wǎng)線測試發(fā)現(xiàn)，只要接入內(nèi)網(wǎng)線，ICS 采集工作站便出現(xiàn)藍(lán)屏重啟現(xiàn)象，因此確定為內(nèi)網(wǎng)線導(dǎo)致藍(lán)屏，并首先懷疑為網(wǎng)絡(luò)病毒攻擊，暫時(shí)將ICS 采集工作站內(nèi)網(wǎng)線斷開，通過光盤拷貝采集數(shù)據(jù)，優(yōu)先解決臨床使用問題，隨后進(jìn)一步查找具體原因。

2.3 故障修復(fù)

由于無法從ICS 采集工作站應(yīng)用軟件系統(tǒng)入手查找及清除病毒，所以只能尋找間接方法排查。初步分析網(wǎng)絡(luò)病毒可能是針對特定IP 地址進(jìn)行攻擊，于是利用測試電腦模擬SPECT/CT ICS 采集工作站，并將測試電腦IP 設(shè)置為ICS 采集工作站IP，然后在測試電腦上安裝火絨殺毒軟件，并將ICS 采集工作站內(nèi)網(wǎng)線連接至測試電腦，隨后火絨殺毒軟件彈窗提示“網(wǎng)絡(luò)爆破攻擊”，查看日志詳情，鎖定病毒攻擊源來自于IP 地址為150.XXX.XXX.212設(shè)備，如圖3所示，此次攻擊利用SMBv2協(xié)議通過445端口進(jìn)行，經(jīng)院內(nèi)信息部門協(xié)同查詢后確定中毒工作站為某品牌的圖像緩存工作站，對該工作站關(guān)機(jī)并拆除。

圖3 火絨殺毒軟件鎖定病毒攻擊源

清除病毒攻擊源后，為進(jìn)一步分析SPECT/CT各工作站是否已中病毒，且考慮該病毒具有遠(yuǎn)程攻擊的特點(diǎn)，依然利用上述測試電腦通過網(wǎng)絡(luò)訪問方式依次獨(dú)立測試DRS 工作站、ICS 采集工作站、IRS 工作站、syngo 后處理工作站，均未發(fā)現(xiàn)病毒存在，重新連接SPECT/CT 各工作站，并觀察一段時(shí)間，不再出現(xiàn)藍(lán)屏重啟現(xiàn)象，可確定故障得以徹底解決。

2.4 病毒檢測

為進(jìn)一步分析和清除該病毒，保證網(wǎng)絡(luò)安全和設(shè)備正常運(yùn)行，對中毒工作站進(jìn)行單獨(dú)檢測，在中毒工作站上安裝火絨殺毒軟件，火絨殺毒軟件文件實(shí)時(shí)監(jiān)控發(fā)現(xiàn)病毒文件為Trojan/Agent.as、Worm/DTSealer.c、Trojan/Generic，如圖4所示，可見Trojan/Agent.as、Trojan/Generic 為木馬病毒文件，Worm/DTSealer.c 為蠕蟲病毒文件，進(jìn)一步深度查殺后共發(fā)現(xiàn)8個(gè)病毒組件，如圖5所示，隨后使用火絨殺毒軟件對所有病毒組件進(jìn)行徹底清除。

圖4 火絨殺毒軟件發(fā)現(xiàn)病毒文件

圖5 火絨殺毒軟件進(jìn)一步發(fā)現(xiàn)病毒組件

3 病毒機(jī)制分析

通過上述病毒檢測結(jié)果以及查閱相關(guān)報(bào)告[19-20]可知，該病毒為近幾年流行的 “挖礦木馬病毒”，該病毒包括多個(gè)組件，典型組件為“永恒之藍(lán)”攻擊組件[21-24]。該病毒入侵目標(biāo)主機(jī)后，通過運(yùn)行惡意程序搶占目標(biāo)主機(jī)的CPU、圖形處理器（graphics processing unit，GPU）、內(nèi)存使用率以獲取算力，致使目標(biāo)主機(jī)系統(tǒng)資源耗盡，通常出現(xiàn)CPU 高使用率、內(nèi)存爆滿、系統(tǒng)文件出錯(cuò)/丟失等，從而出現(xiàn)藍(lán)屏現(xiàn)象。

通過分析本案例病毒組件成分及路徑，以及查閱相關(guān)技術(shù)報(bào)告[25-26]，推斷上述病毒文件行為以及作用機(jī)制，病毒文件行為示意圖如圖6 所示。該病毒文件updater.exe 下載后保存在C:Windows emp 目錄下，執(zhí)行后移動主程序svhost.exe 文件到C:WindowsSysWOW64 目錄下，同時(shí)設(shè)置為隱藏屬性；主程序執(zhí)行后，復(fù)制文件svchost.exe 和釋放文件taskmgr.exe 到C:WindowsSysWOW64drivers 目錄下，通過Trojan/BAT.Pwrsvc.a 文件創(chuàng)建注冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesaEqi，注冊自身為自啟動服務(wù)項(xiàng)，通過Trojan/BAT.Pwrsch.a 創(chuàng)建計(jì)劃任務(wù)Task Scheduler\Ddrivers，通過Trojan/Generic!F2F03CD92B71E385 偽裝任務(wù)管理器的taskmgr.exe 進(jìn)行，之后啟動svchost.exe 惡意程序，并利用偽裝的taskmgr.exe 進(jìn)行共享內(nèi)存進(jìn)行“挖礦”操作；主程序執(zhí)行后，釋放文件wmiex.exe 到c:WindowsSysWOW64 目錄下，并設(shè)置隱藏屬性，通過Trojan/BAT.Pwrsch.a 創(chuàng)建計(jì)劃任務(wù)WebServers，定時(shí)執(zhí)行C:WindowsSysWOW64wmiex.exe，其中wmiex.exe 為后門組件，注冊啟動項(xiàng)和計(jì)劃任務(wù)，進(jìn)行持久化攻擊，將收集的目標(biāo)主機(jī)的名稱、標(biāo)識符、系統(tǒng)信息、CPU 型號、顯卡信息、網(wǎng)卡信息、物理地址等相關(guān)信息發(fā)送至遠(yuǎn)程服務(wù)器；其次，主程序執(zhí)行后將svchost.exe 組件釋放到 c:WindowsTemp 目錄下，病毒名稱為Worm/DTStealer.c，該病毒為Windows 系統(tǒng)“永恒之藍(lán)”漏洞攻擊組件，利用445 等端口進(jìn)行內(nèi)網(wǎng)橫向攻擊，釋放 “挖礦”木馬到新目標(biāo)主機(jī)，從而擴(kuò)散病毒感染面積，釋放“挖礦”木馬后將耗盡新目標(biāo)主機(jī)CPU 和內(nèi)存使用率，以及搶占系統(tǒng)進(jìn)程等惡意操作；另外，主程序執(zhí)行后通過Trojan/BAT.Pwrsch.b 創(chuàng)建計(jì)劃任務(wù)task scheduler\microsoftWindowsluetooth，其中bluetooths 為powershell 無文件攻擊方式，定時(shí)執(zhí)行powershell 腳本文件連網(wǎng)實(shí)時(shí)更新木馬病毒。

圖6 病毒文件行為示意圖

本次故障判斷存在兩個(gè)難點(diǎn)，一是藍(lán)屏重啟現(xiàn)象的不確定性，二是藍(lán)屏代碼的不確定性。對于藍(lán)屏重啟現(xiàn)象的不確定性主要體現(xiàn)在兩方面，一是藍(lán)屏重啟時(shí)間間隔不確定，從該病毒工作機(jī)制可知，“永恒之藍(lán)”攻擊模塊組件svchost.exe 設(shè)置定時(shí)掃描內(nèi)網(wǎng)目標(biāo)主機(jī)進(jìn)行攻擊；二是藍(lán)屏發(fā)生時(shí)間不確定，經(jīng)了解，中毒工作站并非一直使用，不使用時(shí)處于關(guān)機(jī)狀態(tài)，攻擊源未啟動，SPECT/CT 采集工作站不會受到攻擊，所以不出現(xiàn)藍(lán)屏現(xiàn)象。

本次案例攻擊方式是利用了445端口通過SMBv2協(xié)議進(jìn)行爆破攻擊，在網(wǎng)內(nèi)局域網(wǎng)下攻擊SPECT/CT ICS 采集工作站，致使其反復(fù)藍(lán)屏重啟。從“永恒之藍(lán)”攻擊模塊組件svchost.exe 行為可知，svchost.exe 攻擊成功后會將病毒組件釋放到SPECT/CT ICS 采集工作站系統(tǒng)關(guān)鍵目錄下并執(zhí)行。然而，從檢測結(jié)果可見，SPECT/CT 采集工作站實(shí)際上并未被感染，可能原因是該ICS 采集工作站作為專用設(shè)備，廠家對其設(shè)置了訪問權(quán)限，比如禁止修改系統(tǒng)盤文件，禁止外來文件進(jìn)入系統(tǒng)目錄下，禁止外來軟件安裝，以及禁止修改系統(tǒng)參數(shù)等權(quán)限。因此，當(dāng)病毒下載到ICS 采集工作站系統(tǒng)目錄下執(zhí)行時(shí)觸發(fā)報(bào)錯(cuò)，以及網(wǎng)絡(luò)攻擊產(chǎn)生大量緩存，導(dǎo)致內(nèi)存報(bào)錯(cuò)并觸發(fā)藍(lán)屏，隨后ICS 采集工作站自動重啟，重啟后短暫性正常運(yùn)行，但一旦受到病毒攻擊時(shí)，再次觸發(fā)藍(lán)屏，這與其中的藍(lán)屏提示“check to make sure any new hardware or software is properly installed”相對應(yīng)。另外，本次病毒攻擊是針對內(nèi)網(wǎng)同網(wǎng)段進(jìn)行，所以對ICS 采集工作站進(jìn)行系統(tǒng)重裝并不能解決本次藍(lán)屏重啟故障。

本案例病毒攻擊僅限于內(nèi)網(wǎng)同一網(wǎng)段內(nèi)，只發(fā)現(xiàn)上述1臺工作站中毒，未發(fā)現(xiàn)內(nèi)網(wǎng)外連跡象，同一網(wǎng)段下多個(gè)工作站受到中毒工作站的攻擊，但由于內(nèi)網(wǎng)工作站殺毒軟件（360安全衛(wèi)士、火絨安全軟件）安裝率和普及率均較高，所以除SPECT/CT ICS 采集工作站被攻擊藍(lán)屏外，其余工作站受到的攻擊均被殺毒軟件攔截。該病毒可能來源于內(nèi)網(wǎng)工作站的驅(qū)動等軟件工具，但不能確定上述中毒工作站為病毒感染的源頭。

4 小結(jié)

由于大型醫(yī)用設(shè)備本身比較復(fù)雜，配套工作站較多，工作站系統(tǒng)通常封裝，不易對操作系統(tǒng)維護(hù)，且考慮到醫(yī)用設(shè)備的專用性和兼容性，安裝第三方殺毒軟件可能存在干擾/阻斷內(nèi)部專用軟件運(yùn)行和數(shù)據(jù)傳送的風(fēng)險(xiǎn)，工作站本身較少安裝第三方殺毒軟件，同時(shí)大型醫(yī)療設(shè)備各工作站之間通常使用共享方式傳輸數(shù)據(jù)，且工作站需要連接至內(nèi)網(wǎng)，因此工作站容易成為被攻擊和感染的對象。

為避免再次出現(xiàn)病毒攻擊或中毒現(xiàn)象，需醫(yī)院各部門協(xié)同合作，才能維護(hù)網(wǎng)絡(luò)安全[20]。首先，使用部門在設(shè)備的日常使用中應(yīng)規(guī)范操作，禁止在醫(yī)用設(shè)備工作站使用個(gè)人移動存儲設(shè)備或未經(jīng)殺毒的配套存儲設(shè)備；其次，設(shè)備管理部門需定期對醫(yī)用設(shè)備的使用開展巡檢工作，封閉設(shè)備工作站的USB接口；再次，維修工程師需對醫(yī)用設(shè)備工作站增加一些防病毒措施，對系統(tǒng)打補(bǔ)丁，若系統(tǒng)支持殺毒軟件，則盡量安裝，若系統(tǒng)不兼容殺毒軟件，則安裝帶防火墻的交換機(jī)；然后，信息部門應(yīng)對內(nèi)網(wǎng)工作站安裝殺毒軟件，定期對內(nèi)網(wǎng)進(jìn)行大規(guī)模殺毒，禁用USB 端口，關(guān)閉一些不必要的共享端口，定期監(jiān)控內(nèi)網(wǎng)狀態(tài)。