SPECT/CT 采集工作站蓝屏重启故障的分析及修复

周地福，李三青，何超健

广州医科大学附属第二医院 1 医疗设备科，2 信息科 （广东 广州 510260）

单光子发射计算机断层成像（single-photon emission computed tomography，SPECT）作为一种大型核医学影像设备，在临床医学诊断领域具有较高的应用价值，广泛用于骨骼、甲状腺、心脏等器官病变的临床检查[1-4]，在使用过程中将放射性核素标记的药物注射到患者体内，由于放射性核素的不稳定性，药物进入组织及器官后逐渐衰变，同时释放伽玛射线，SPECT 晶体探测器（伽玛射线探头）多个角度实时采集组织及器官中释放的伽玛射线，通过重建后形成图像[5-6]。由于放射性核素的衰变特性，其标记的药物具有时效性，且较为昂贵，注射后需要在规定时间内完成采集工作[6-7]。因此，在整个采集工作中，对设备的稳定性要求较高，一旦故障，需要尽可能快速修复。本研究通过对SPECT/CT 采集工作站蓝屏重启故障的分析及修复，为设备生产厂家、设备使用部门、设备管理部门、信息部门以及维修工程师提供借鉴，从而减少相关损失。

1 SPECT/CT 基本结构与配置

本研究SPECT/CT 为2018年安装的西门子Symbia Intevo 6型，设备基本结构如图1所示。专用重建计算机（dedicated reconstruction system，DRS）工作站用于分子图形重建，采用惠普Z420型计算机，未配置独立显示输出，通过网线连接于整机系统控制计算机（image control system，ICS）采集工作站。ICS 采集工作站主要用于整机设备的日常操作、图像采集、故障诊断等，采用富士通ETNA-S-D3128型计算机，安装Windows 7旗舰版X32/X64操作系统，配置显示输出及3个网络端口，通过局域网与DRS 工作站和图像重建计算机（image reconstruction system，IRS）工作站进行通信，剩余的1个网络端口则连接至医院内网。IRS 工作站用于CT 图像的重建，采用富士通ETNA-S-D3128型计算机，未配置独立显示输出，通过网线连接于ICS 采集工作站。syngo 后处理工作站对ICS 采集工作站采集的图像进行后处理操作，采用惠普Z840型计算机，通过网线连接至医院内网，通过医院内网局域网和ICS 采集工作站进行通信。

图1 西门子Symbia Intevo 6型SPECT/CT 基本结构

2 故障现象、分析、修复及病毒检测

2.1 故障现象

SPECT/CT ICS 采集工作站不定时蓝屏重启，且提示信息随机，提示信息包括“srv.sys”代码为0X00000050、“BUGCODE_USB_DRIVER”代 码 为0X000000F、“BAD_POOL_HEADR”代码为0X00000019，如图2所示。

图2 SPECT/CT ICS 采集工作站不定时蓝屏提示信息

2.2 故障分析

通过查询计算机蓝屏相关报道[8-10]可知：0X00000050代码提示内存故障、不兼容的软件、损坏的NTFS 卷以及硬件故障等；0X000000FE 代码提示指定的延伸属性名称无效；0X00000019代码提示磁盘驱动器在磁盘找不到特定的扇区或磁道。综上，无法得到明确的故障指向，于是查阅类似型号SPECT/CT 故障维修案例[11-15]，但并未发现相关报道，因此，只能逐步排查。考虑ICS 采集工作站为SPECT/CT 专用计算机，厂家对Windows 系统进行封装处理，即ICS 采集工作站开机后跳过Windows 系统直接进入应用软件，以及没有该型号SPECT/CT专业维修手册，整个故障排查较为困难，尤其是反复蓝屏重启过程中没有机会进入软件排查故障原因，导致从软件系统方面入手较为困难，于是优先进行硬件排查。

计算机蓝屏故障原因可能为内存损失或接触不良，虚拟内存过度，中央处理器（central processing unit，CPU）超频，硬盘故障，中病毒/网络病毒攻击，温度过高，电源不稳定，机箱内部灰尘过多等[16-18]。

根据蓝屏原因以及设备特殊性，大致确定故障排查方案及顺序如下：（1）硬件排查，考虑硬件容易着手，且引发蓝屏的可能性较大；（2）软件排查，考虑应用软件系统已被封装，不易操作；（3）工作站外围附件排查；（4）重装系统和应用软件，考虑SPECT/CT 软件较为复杂，且安装时间较长，以及重装后可能难以恢复原始的最优配置，则不轻易重装系统和应用软件。

硬件排查：（1）清洁环境，由于灰尘容易产生静电引起干扰导致蓝屏重启现象，所以首先清洁机箱内部每个部件，清洁后蓝屏重启依然存在；（2）内存条测试，主板上有两条4 GB 内存条，依次采用单条内存测试，测试后蓝屏重启现象依旧存在，暂时排除内存原因；（3）硬盘测试，ICS 采集工作站共有4块机械硬盘，由此组成磁盘阵列，依次检测每块硬盘，并未发现损坏迹象，且ICS 采集工作站开机瞬间显示4块硬盘自检均通过的信息，暂时排除硬盘原因；（4）查看CPU，拆开CPU 散热器，硅脂已干燥和硬化，重新涂上硅脂，开机后依旧存在蓝屏重启现象。

软件排查：将SPECT/CT 进入维修模式，查看错误日志，日志仅提示工作站问题，并没有明确指向，由于ICS 采集工作站Windows 系统已被封装，难以从Windows 系统层面排查问题，且无法确定能否安装杀毒软件，所以软件排查无从着手。

工作站外围附件排查：拆除ICS 采集工作站外围所有连接线，包括3条网线、机架数据电缆线等连接线，而后开机观察一段时间，并未出现蓝屏重启现象，说明故障来自于工作站外围附件，于是依次测试外围连接线，经过多次接入和断开内网线测试发现，只要接入内网线，ICS 采集工作站便出现蓝屏重启现象，因此确定为内网线导致蓝屏，并首先怀疑为网络病毒攻击，暂时将ICS 采集工作站内网线断开，通过光盘拷贝采集数据，优先解决临床使用问题，随后进一步查找具体原因。

2.3 故障修复

由于无法从ICS 采集工作站应用软件系统入手查找及清除病毒，所以只能寻找间接方法排查。初步分析网络病毒可能是针对特定IP 地址进行攻击，于是利用测试电脑模拟SPECT/CT ICS 采集工作站，并将测试电脑IP 设置为ICS 采集工作站IP，然后在测试电脑上安装火绒杀毒软件，并将ICS 采集工作站内网线连接至测试电脑，随后火绒杀毒软件弹窗提示“网络爆破攻击”，查看日志详情，锁定病毒攻击源来自于IP 地址为150.XXX.XXX.212设备，如图3所示，此次攻击利用SMBv2协议通过445端口进行，经院内信息部门协同查询后确定中毒工作站为某品牌的图像缓存工作站，对该工作站关机并拆除。

图3 火绒杀毒软件锁定病毒攻击源

清除病毒攻击源后，为进一步分析SPECT/CT各工作站是否已中病毒，且考虑该病毒具有远程攻击的特点，依然利用上述测试电脑通过网络访问方式依次独立测试DRS 工作站、ICS 采集工作站、IRS 工作站、syngo 后处理工作站，均未发现病毒存在，重新连接SPECT/CT 各工作站，并观察一段时间，不再出现蓝屏重启现象，可确定故障得以彻底解决。

2.4 病毒检测

为进一步分析和清除该病毒，保证网络安全和设备正常运行，对中毒工作站进行单独检测，在中毒工作站上安装火绒杀毒软件，火绒杀毒软件文件实时监控发现病毒文件为Trojan/Agent.as、Worm/DTSealer.c、Trojan/Generic，如图4所示，可见Trojan/Agent.as、Trojan/Generic 为木马病毒文件，Worm/DTSealer.c 为蠕虫病毒文件，进一步深度查杀后共发现8个病毒组件，如图5所示，随后使用火绒杀毒软件对所有病毒组件进行彻底清除。

图4 火绒杀毒软件发现病毒文件

图5 火绒杀毒软件进一步发现病毒组件

3 病毒机制分析

通过上述病毒检测结果以及查阅相关报告[19-20]可知，该病毒为近几年流行的 “挖矿木马病毒”，该病毒包括多个组件，典型组件为“永恒之蓝”攻击组件[21-24]。该病毒入侵目标主机后，通过运行恶意程序抢占目标主机的CPU、图形处理器（graphics processing unit，GPU）、内存使用率以获取算力，致使目标主机系统资源耗尽，通常出现CPU 高使用率、内存爆满、系统文件出错/丢失等，从而出现蓝屏现象。

通过分析本案例病毒组件成分及路径，以及查阅相关技术报告[25-26]，推断上述病毒文件行为以及作用机制，病毒文件行为示意图如图6 所示。该病毒文件updater.exe 下载后保存在C:Windows emp 目录下，执行后移动主程序svhost.exe 文件到C:WindowsSysWOW64 目录下，同时设置为隐藏属性；主程序执行后，复制文件svchost.exe 和释放文件taskmgr.exe 到C:WindowsSysWOW64drivers 目录下，通过Trojan/BAT.Pwrsvc.a 文件创建注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesaEqi，注册自身为自启动服务项，通过Trojan/BAT.Pwrsch.a 创建计划任务Task Scheduler\Ddrivers，通过Trojan/Generic!F2F03CD92B71E385 伪装任务管理器的taskmgr.exe 进行，之后启动svchost.exe 恶意程序，并利用伪装的taskmgr.exe 进行共享内存进行“挖矿”操作；主程序执行后，释放文件wmiex.exe 到c:WindowsSysWOW64 目录下，并设置隐藏属性，通过Trojan/BAT.Pwrsch.a 创建计划任务WebServers，定时执行C:WindowsSysWOW64wmiex.exe，其中wmiex.exe 为后门组件，注册启动项和计划任务，进行持久化攻击，将收集的目标主机的名称、标识符、系统信息、CPU 型号、显卡信息、网卡信息、物理地址等相关信息发送至远程服务器；其次，主程序执行后将svchost.exe 组件释放到 c:WindowsTemp 目录下，病毒名称为Worm/DTStealer.c，该病毒为Windows 系统“永恒之蓝”漏洞攻击组件，利用445 等端口进行内网横向攻击，释放 “挖矿”木马到新目标主机，从而扩散病毒感染面积，释放“挖矿”木马后将耗尽新目标主机CPU 和内存使用率，以及抢占系统进程等恶意操作；另外，主程序执行后通过Trojan/BAT.Pwrsch.b 创建计划任务task scheduler\microsoftWindowsluetooth，其中bluetooths 为powershell 无文件攻击方式，定时执行powershell 脚本文件连网实时更新木马病毒。

图6 病毒文件行为示意图

本次故障判断存在两个难点，一是蓝屏重启现象的不确定性，二是蓝屏代码的不确定性。对于蓝屏重启现象的不确定性主要体现在两方面，一是蓝屏重启时间间隔不确定，从该病毒工作机制可知，“永恒之蓝”攻击模块组件svchost.exe 设置定时扫描内网目标主机进行攻击；二是蓝屏发生时间不确定，经了解，中毒工作站并非一直使用，不使用时处于关机状态，攻击源未启动，SPECT/CT 采集工作站不会受到攻击，所以不出现蓝屏现象。

本次案例攻击方式是利用了445端口通过SMBv2协议进行爆破攻击，在网内局域网下攻击SPECT/CT ICS 采集工作站，致使其反复蓝屏重启。从“永恒之蓝”攻击模块组件svchost.exe 行为可知，svchost.exe 攻击成功后会将病毒组件释放到SPECT/CT ICS 采集工作站系统关键目录下并执行。然而，从检测结果可见，SPECT/CT 采集工作站实际上并未被感染，可能原因是该ICS 采集工作站作为专用设备，厂家对其设置了访问权限，比如禁止修改系统盘文件，禁止外来文件进入系统目录下，禁止外来软件安装，以及禁止修改系统参数等权限。因此，当病毒下载到ICS 采集工作站系统目录下执行时触发报错，以及网络攻击产生大量缓存，导致内存报错并触发蓝屏，随后ICS 采集工作站自动重启，重启后短暂性正常运行，但一旦受到病毒攻击时，再次触发蓝屏，这与其中的蓝屏提示“check to make sure any new hardware or software is properly installed”相对应。另外，本次病毒攻击是针对内网同网段进行，所以对ICS 采集工作站进行系统重装并不能解决本次蓝屏重启故障。

本案例病毒攻击仅限于内网同一网段内，只发现上述1台工作站中毒，未发现内网外连迹象，同一网段下多个工作站受到中毒工作站的攻击，但由于内网工作站杀毒软件（360安全卫士、火绒安全软件）安装率和普及率均较高，所以除SPECT/CT ICS 采集工作站被攻击蓝屏外，其余工作站受到的攻击均被杀毒软件拦截。该病毒可能来源于内网工作站的驱动等软件工具，但不能确定上述中毒工作站为病毒感染的源头。

4 小结

由于大型医用设备本身比较复杂，配套工作站较多，工作站系统通常封装，不易对操作系统维护，且考虑到医用设备的专用性和兼容性，安装第三方杀毒软件可能存在干扰/阻断内部专用软件运行和数据传送的风险，工作站本身较少安装第三方杀毒软件，同时大型医疗设备各工作站之间通常使用共享方式传输数据，且工作站需要连接至内网，因此工作站容易成为被攻击和感染的对象。

为避免再次出现病毒攻击或中毒现象，需医院各部门协同合作，才能维护网络安全[20]。首先，使用部门在设备的日常使用中应规范操作，禁止在医用设备工作站使用个人移动存储设备或未经杀毒的配套存储设备；其次，设备管理部门需定期对医用设备的使用开展巡检工作，封闭设备工作站的USB接口；再次，维修工程师需对医用设备工作站增加一些防病毒措施，对系统打补丁，若系统支持杀毒软件，则尽量安装，若系统不兼容杀毒软件，则安装带防火墙的交换机；然后，信息部门应对内网工作站安装杀毒软件，定期对内网进行大规模杀毒，禁用USB 端口，关闭一些不必要的共享端口，定期监控内网状态。