SPECT/CT 采集工作站藍屏重啟故障的分析及修復

周地福，李三青，何超健

廣州醫(yī)科大學附屬第二醫(yī)院 1 醫(yī)療設備科，2 信息科 （廣東 廣州 510260）

單光子發(fā)射計算機斷層成像（single-photon emission computed tomography，SPECT）作為一種大型核醫(yī)學影像設備，在臨床醫(yī)學診斷領域具有較高的應用價值，廣泛用于骨骼、甲狀腺、心臟等器官病變的臨床檢查[1-4]，在使用過程中將放射性核素標記的藥物注射到患者體內，由于放射性核素的不穩(wěn)定性，藥物進入組織及器官后逐漸衰變，同時釋放伽瑪射線，SPECT 晶體探測器（伽瑪射線探頭）多個角度實時采集組織及器官中釋放的伽瑪射線，通過重建后形成圖像[5-6]。由于放射性核素的衰變特性，其標記的藥物具有時效性，且較為昂貴，注射后需要在規(guī)定時間內完成采集工作[6-7]。因此，在整個采集工作中，對設備的穩(wěn)定性要求較高，一旦故障，需要盡可能快速修復。本研究通過對SPECT/CT 采集工作站藍屏重啟故障的分析及修復，為設備生產(chǎn)廠家、設備使用部門、設備管理部門、信息部門以及維修工程師提供借鑒，從而減少相關損失。

1 SPECT/CT 基本結構與配置

本研究SPECT/CT 為2018年安裝的西門子Symbia Intevo 6型，設備基本結構如圖1所示。專用重建計算機（dedicated reconstruction system，DRS）工作站用于分子圖形重建，采用惠普Z420型計算機，未配置獨立顯示輸出，通過網(wǎng)線連接于整機系統(tǒng)控制計算機（image control system，ICS）采集工作站。ICS 采集工作站主要用于整機設備的日常操作、圖像采集、故障診斷等，采用富士通ETNA-S-D3128型計算機，安裝Windows 7旗艦版X32/X64操作系統(tǒng)，配置顯示輸出及3個網(wǎng)絡端口，通過局域網(wǎng)與DRS 工作站和圖像重建計算機（image reconstruction system，IRS）工作站進行通信，剩余的1個網(wǎng)絡端口則連接至醫(yī)院內網(wǎng)。IRS 工作站用于CT 圖像的重建，采用富士通ETNA-S-D3128型計算機，未配置獨立顯示輸出，通過網(wǎng)線連接于ICS 采集工作站。syngo 后處理工作站對ICS 采集工作站采集的圖像進行后處理操作，采用惠普Z840型計算機，通過網(wǎng)線連接至醫(yī)院內網(wǎng)，通過醫(yī)院內網(wǎng)局域網(wǎng)和ICS 采集工作站進行通信。

圖1 西門子Symbia Intevo 6型SPECT/CT 基本結構

2 故障現(xiàn)象、分析、修復及病毒檢測

2.1 故障現(xiàn)象

SPECT/CT ICS 采集工作站不定時藍屏重啟，且提示信息隨機，提示信息包括“srv.sys”代碼為0X00000050、“BUGCODE_USB_DRIVER”代 碼 為0X000000F、“BAD_POOL_HEADR”代碼為0X00000019，如圖2所示。

圖2 SPECT/CT ICS 采集工作站不定時藍屏提示信息

2.2 故障分析

通過查詢計算機藍屏相關報道[8-10]可知：0X00000050代碼提示內存故障、不兼容的軟件、損壞的NTFS 卷以及硬件故障等；0X000000FE 代碼提示指定的延伸屬性名稱無效；0X00000019代碼提示磁盤驅動器在磁盤找不到特定的扇區(qū)或磁道。綜上，無法得到明確的故障指向，于是查閱類似型號SPECT/CT 故障維修案例[11-15]，但并未發(fā)現(xiàn)相關報道，因此，只能逐步排查?？紤]ICS 采集工作站為SPECT/CT 專用計算機，廠家對Windows 系統(tǒng)進行封裝處理，即ICS 采集工作站開機后跳過Windows 系統(tǒng)直接進入應用軟件，以及沒有該型號SPECT/CT專業(yè)維修手冊，整個故障排查較為困難，尤其是反復藍屏重啟過程中沒有機會進入軟件排查故障原因，導致從軟件系統(tǒng)方面入手較為困難，于是優(yōu)先進行硬件排查。

計算機藍屏故障原因可能為內存損失或接觸不良，虛擬內存過度，中央處理器（central processing unit，CPU）超頻，硬盤故障，中病毒/網(wǎng)絡病毒攻擊，溫度過高，電源不穩(wěn)定，機箱內部灰塵過多等[16-18]。

根據(jù)藍屏原因以及設備特殊性，大致確定故障排查方案及順序如下：（1）硬件排查，考慮硬件容易著手，且引發(fā)藍屏的可能性較大；（2）軟件排查，考慮應用軟件系統(tǒng)已被封裝，不易操作；（3）工作站外圍附件排查；（4）重裝系統(tǒng)和應用軟件，考慮SPECT/CT 軟件較為復雜，且安裝時間較長，以及重裝后可能難以恢復原始的最優(yōu)配置，則不輕易重裝系統(tǒng)和應用軟件。

硬件排查：（1）清潔環(huán)境，由于灰塵容易產(chǎn)生靜電引起干擾導致藍屏重啟現(xiàn)象，所以首先清潔機箱內部每個部件，清潔后藍屏重啟依然存在；（2）內存條測試，主板上有兩條4 GB 內存條，依次采用單條內存測試，測試后藍屏重啟現(xiàn)象依舊存在，暫時排除內存原因；（3）硬盤測試，ICS 采集工作站共有4塊機械硬盤，由此組成磁盤陣列，依次檢測每塊硬盤，并未發(fā)現(xiàn)損壞跡象，且ICS 采集工作站開機瞬間顯示4塊硬盤自檢均通過的信息，暫時排除硬盤原因；（4）查看CPU，拆開CPU 散熱器，硅脂已干燥和硬化，重新涂上硅脂，開機后依舊存在藍屏重啟現(xiàn)象。

軟件排查：將SPECT/CT 進入維修模式，查看錯誤日志，日志僅提示工作站問題，并沒有明確指向，由于ICS 采集工作站W(wǎng)indows 系統(tǒng)已被封裝，難以從Windows 系統(tǒng)層面排查問題，且無法確定能否安裝殺毒軟件，所以軟件排查無從著手。

工作站外圍附件排查：拆除ICS 采集工作站外圍所有連接線，包括3條網(wǎng)線、機架數(shù)據(jù)電纜線等連接線，而后開機觀察一段時間，并未出現(xiàn)藍屏重啟現(xiàn)象，說明故障來自于工作站外圍附件，于是依次測試外圍連接線，經(jīng)過多次接入和斷開內網(wǎng)線測試發(fā)現(xiàn)，只要接入內網(wǎng)線，ICS 采集工作站便出現(xiàn)藍屏重啟現(xiàn)象，因此確定為內網(wǎng)線導致藍屏，并首先懷疑為網(wǎng)絡病毒攻擊，暫時將ICS 采集工作站內網(wǎng)線斷開，通過光盤拷貝采集數(shù)據(jù)，優(yōu)先解決臨床使用問題，隨后進一步查找具體原因。

2.3 故障修復

由于無法從ICS 采集工作站應用軟件系統(tǒng)入手查找及清除病毒，所以只能尋找間接方法排查。初步分析網(wǎng)絡病毒可能是針對特定IP 地址進行攻擊，于是利用測試電腦模擬SPECT/CT ICS 采集工作站，并將測試電腦IP 設置為ICS 采集工作站IP，然后在測試電腦上安裝火絨殺毒軟件，并將ICS 采集工作站內網(wǎng)線連接至測試電腦，隨后火絨殺毒軟件彈窗提示“網(wǎng)絡爆破攻擊”，查看日志詳情，鎖定病毒攻擊源來自于IP 地址為150.XXX.XXX.212設備，如圖3所示，此次攻擊利用SMBv2協(xié)議通過445端口進行，經(jīng)院內信息部門協(xié)同查詢后確定中毒工作站為某品牌的圖像緩存工作站，對該工作站關機并拆除。

圖3 火絨殺毒軟件鎖定病毒攻擊源

清除病毒攻擊源后，為進一步分析SPECT/CT各工作站是否已中病毒，且考慮該病毒具有遠程攻擊的特點，依然利用上述測試電腦通過網(wǎng)絡訪問方式依次獨立測試DRS 工作站、ICS 采集工作站、IRS 工作站、syngo 后處理工作站，均未發(fā)現(xiàn)病毒存在，重新連接SPECT/CT 各工作站，并觀察一段時間，不再出現(xiàn)藍屏重啟現(xiàn)象，可確定故障得以徹底解決。

2.4 病毒檢測

為進一步分析和清除該病毒，保證網(wǎng)絡安全和設備正常運行，對中毒工作站進行單獨檢測，在中毒工作站上安裝火絨殺毒軟件，火絨殺毒軟件文件實時監(jiān)控發(fā)現(xiàn)病毒文件為Trojan/Agent.as、Worm/DTSealer.c、Trojan/Generic，如圖4所示，可見Trojan/Agent.as、Trojan/Generic 為木馬病毒文件，Worm/DTSealer.c 為蠕蟲病毒文件，進一步深度查殺后共發(fā)現(xiàn)8個病毒組件，如圖5所示，隨后使用火絨殺毒軟件對所有病毒組件進行徹底清除。

圖4 火絨殺毒軟件發(fā)現(xiàn)病毒文件

圖5 火絨殺毒軟件進一步發(fā)現(xiàn)病毒組件

3 病毒機制分析

通過上述病毒檢測結果以及查閱相關報告[19-20]可知，該病毒為近幾年流行的 “挖礦木馬病毒”，該病毒包括多個組件，典型組件為“永恒之藍”攻擊組件[21-24]。該病毒入侵目標主機后，通過運行惡意程序搶占目標主機的CPU、圖形處理器（graphics processing unit，GPU）、內存使用率以獲取算力，致使目標主機系統(tǒng)資源耗盡，通常出現(xiàn)CPU 高使用率、內存爆滿、系統(tǒng)文件出錯/丟失等，從而出現(xiàn)藍屏現(xiàn)象。

通過分析本案例病毒組件成分及路徑，以及查閱相關技術報告[25-26]，推斷上述病毒文件行為以及作用機制，病毒文件行為示意圖如圖6 所示。該病毒文件updater.exe 下載后保存在C:Windows emp 目錄下，執(zhí)行后移動主程序svhost.exe 文件到C:WindowsSysWOW64 目錄下，同時設置為隱藏屬性；主程序執(zhí)行后，復制文件svchost.exe 和釋放文件taskmgr.exe 到C:WindowsSysWOW64drivers 目錄下，通過Trojan/BAT.Pwrsvc.a 文件創(chuàng)建注冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesaEqi，注冊自身為自啟動服務項，通過Trojan/BAT.Pwrsch.a 創(chuàng)建計劃任務Task Scheduler\Ddrivers，通過Trojan/Generic!F2F03CD92B71E385 偽裝任務管理器的taskmgr.exe 進行，之后啟動svchost.exe 惡意程序，并利用偽裝的taskmgr.exe 進行共享內存進行“挖礦”操作；主程序執(zhí)行后，釋放文件wmiex.exe 到c:WindowsSysWOW64 目錄下，并設置隱藏屬性，通過Trojan/BAT.Pwrsch.a 創(chuàng)建計劃任務WebServers，定時執(zhí)行C:WindowsSysWOW64wmiex.exe，其中wmiex.exe 為后門組件，注冊啟動項和計劃任務，進行持久化攻擊，將收集的目標主機的名稱、標識符、系統(tǒng)信息、CPU 型號、顯卡信息、網(wǎng)卡信息、物理地址等相關信息發(fā)送至遠程服務器；其次，主程序執(zhí)行后將svchost.exe 組件釋放到 c:WindowsTemp 目錄下，病毒名稱為Worm/DTStealer.c，該病毒為Windows 系統(tǒng)“永恒之藍”漏洞攻擊組件，利用445 等端口進行內網(wǎng)橫向攻擊，釋放 “挖礦”木馬到新目標主機，從而擴散病毒感染面積，釋放“挖礦”木馬后將耗盡新目標主機CPU 和內存使用率，以及搶占系統(tǒng)進程等惡意操作；另外，主程序執(zhí)行后通過Trojan/BAT.Pwrsch.b 創(chuàng)建計劃任務task scheduler\microsoftWindowsluetooth，其中bluetooths 為powershell 無文件攻擊方式，定時執(zhí)行powershell 腳本文件連網(wǎng)實時更新木馬病毒。

圖6 病毒文件行為示意圖

本次故障判斷存在兩個難點，一是藍屏重啟現(xiàn)象的不確定性，二是藍屏代碼的不確定性。對于藍屏重啟現(xiàn)象的不確定性主要體現(xiàn)在兩方面，一是藍屏重啟時間間隔不確定，從該病毒工作機制可知，“永恒之藍”攻擊模塊組件svchost.exe 設置定時掃描內網(wǎng)目標主機進行攻擊；二是藍屏發(fā)生時間不確定，經(jīng)了解，中毒工作站并非一直使用，不使用時處于關機狀態(tài)，攻擊源未啟動，SPECT/CT 采集工作站不會受到攻擊，所以不出現(xiàn)藍屏現(xiàn)象。

本次案例攻擊方式是利用了445端口通過SMBv2協(xié)議進行爆破攻擊，在網(wǎng)內局域網(wǎng)下攻擊SPECT/CT ICS 采集工作站，致使其反復藍屏重啟。從“永恒之藍”攻擊模塊組件svchost.exe 行為可知，svchost.exe 攻擊成功后會將病毒組件釋放到SPECT/CT ICS 采集工作站系統(tǒng)關鍵目錄下并執(zhí)行。然而，從檢測結果可見，SPECT/CT 采集工作站實際上并未被感染，可能原因是該ICS 采集工作站作為專用設備，廠家對其設置了訪問權限，比如禁止修改系統(tǒng)盤文件，禁止外來文件進入系統(tǒng)目錄下，禁止外來軟件安裝，以及禁止修改系統(tǒng)參數(shù)等權限。因此，當病毒下載到ICS 采集工作站系統(tǒng)目錄下執(zhí)行時觸發(fā)報錯，以及網(wǎng)絡攻擊產(chǎn)生大量緩存，導致內存報錯并觸發(fā)藍屏，隨后ICS 采集工作站自動重啟，重啟后短暫性正常運行，但一旦受到病毒攻擊時，再次觸發(fā)藍屏，這與其中的藍屏提示“check to make sure any new hardware or software is properly installed”相對應。另外，本次病毒攻擊是針對內網(wǎng)同網(wǎng)段進行，所以對ICS 采集工作站進行系統(tǒng)重裝并不能解決本次藍屏重啟故障。

本案例病毒攻擊僅限于內網(wǎng)同一網(wǎng)段內，只發(fā)現(xiàn)上述1臺工作站中毒，未發(fā)現(xiàn)內網(wǎng)外連跡象，同一網(wǎng)段下多個工作站受到中毒工作站的攻擊，但由于內網(wǎng)工作站殺毒軟件（360安全衛(wèi)士、火絨安全軟件）安裝率和普及率均較高，所以除SPECT/CT ICS 采集工作站被攻擊藍屏外，其余工作站受到的攻擊均被殺毒軟件攔截。該病毒可能來源于內網(wǎng)工作站的驅動等軟件工具，但不能確定上述中毒工作站為病毒感染的源頭。

4 小結

由于大型醫(yī)用設備本身比較復雜，配套工作站較多，工作站系統(tǒng)通常封裝，不易對操作系統(tǒng)維護，且考慮到醫(yī)用設備的專用性和兼容性，安裝第三方殺毒軟件可能存在干擾/阻斷內部專用軟件運行和數(shù)據(jù)傳送的風險，工作站本身較少安裝第三方殺毒軟件，同時大型醫(yī)療設備各工作站之間通常使用共享方式傳輸數(shù)據(jù)，且工作站需要連接至內網(wǎng)，因此工作站容易成為被攻擊和感染的對象。

為避免再次出現(xiàn)病毒攻擊或中毒現(xiàn)象，需醫(yī)院各部門協(xié)同合作，才能維護網(wǎng)絡安全[20]。首先，使用部門在設備的日常使用中應規(guī)范操作，禁止在醫(yī)用設備工作站使用個人移動存儲設備或未經(jīng)殺毒的配套存儲設備；其次，設備管理部門需定期對醫(yī)用設備的使用開展巡檢工作，封閉設備工作站的USB接口；再次，維修工程師需對醫(yī)用設備工作站增加一些防病毒措施，對系統(tǒng)打補丁，若系統(tǒng)支持殺毒軟件，則盡量安裝，若系統(tǒng)不兼容殺毒軟件，則安裝帶防火墻的交換機；然后，信息部門應對內網(wǎng)工作站安裝殺毒軟件，定期對內網(wǎng)進行大規(guī)模殺毒，禁用USB 端口，關閉一些不必要的共享端口，定期監(jiān)控內網(wǎng)狀態(tài)。