某厂#3机组DCS病毒发作,导致操作站死机故障分析及处理.pdf
《某厂#3机组DCS病毒发作,导致操作站死机故障分析及处理.pdf》由会员分享,可在线阅读,更多相关《某厂#3机组DCS病毒发作,导致操作站死机故障分析及处理.pdf(3页珍藏版)》请在三一文库上搜索。
1、第 1 页 共 3 页 某厂#3 机组 DCS 病毒发作,导致操作站死机故障分析及处理 2009 年 3 月 17 日, 某厂3 机组 DCS 系统 MMI 人机接口站出现屏幕数据不刷新 (除 大屏显示正常外) ,网络数据通讯堵塞,无法进行操作,仅能通过大屏进行监控的情况。 电研院热工所会同电厂热工人员进行紧急处理。经过紧急查杀毒并暂时加装防火墙软件 后恢复正常。事后检查分析原因是系统存在的病毒爆发引起。 一、事件现象及处理一、事件现象及处理 2009 年 3 月 11 日 10 时 20 分,某厂3 机组 MMI 人机接口站(除了大屏,包括工 程师站和操作员站)突然全部死机,数据无法刷新,无
2、法进行操作,仅能通过大屏进行 监控。电试院热工人员协同电厂热工人员进行紧急处理。主要处理过程: 1)对操作员站关机后重新启动,前几分钟基本正常,但之后数据又无法刷新,CPU 负荷率达到 100,scvhost.exe 进程占用大量资源。 2)用 WINDOWS 清理助手扫描,发现 IRIWWL.DLL 文件含未知木马程序风险并隔离, 重启后操作员站正常,安装 symantec 防火墙。 3)至 17 时 40 分,4 台 MMI 站和历史站已恢复运行,其余也正在进行恢复。在上述 站点恢复数据刷新后,进行了操作站上的操作试验,确认了操作指令可以发出,运行正 常。恢复过程中还发现有 1 台操作员站
3、的 1 块网卡损坏,有 1 台操作员站无法启动,进 行了更换处理。 4) 安装防火墙后, 其它站无法读取历史站的历史数据, 后将历史站的 IP 设置为“信 任站点”后,并将防火墙安全等级设置为最低,可以读取历史数据。 5)更新 symantec 病毒库后进行扫描查毒,发现 w32.downadup 病毒(感染文件较 多) ,依次对各操作站分别进行杀毒操作。 6)杀毒完成后,重启主机并恢复网络(不久后 symantec 防火墙又发现新的感染文 件) 。为此进行试验,选择 1 台操作站重新杀毒后重新启动,较长时间单独运行正常; 后连接 A/B 网,不久即发现病毒。因而可以认为该 w32.downa
4、dup 蠕虫病毒在网络中迅 速传播。 通过上述故障处理措施,紧急恢复了操作员站及工程师站、历史站的正常运行,满 足了机组正常运行的要求。 二、原因分析二、原因分析 在联系了新华公司 DCS 技术服务人员至现场后,热工所人员及电厂设备部、信息技 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 第 2 页 共 3 页 术部人员一同对 3 号机组 DCS 系统故障的原因进行了分析,同时对当前故障处理的措施 进行了评估,认为: 1) 此次#3 机组 DCS 系统发生的网络通讯故障, 主要是由于上位机中存在蠕虫病毒, 在网络通讯过程中,蠕虫病毒大量发数据包,致使 C 网网络通讯量巨大
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 某厂 机组 DCS 病毒 发作 导致 操作 死机 故障 分析 处理
链接地址:https://www.31doc.com/p-3708512.html