&&&&震网病毒样本
震网病毒样本
从tuts4you上下载下来的震网病毒源代码
若举报审核通过，可奖励20下载分
被举报人：
举报的资源分：
请选择类型
资源无法下载
资源无法使用
标题与实际内容不符
含有危害国家安全内容
含有反动色情等内容
含广告内容
版权问题，侵犯个人或公司的版权
*详细原因：
VIP下载&&免积分60元/年（1200次）
您可能还需要
安全技术下载排行深度：震网病毒的秘密（一） -
| 关注黑客与极客
深度：震网病毒的秘密（一）
共302330人围观
，发现 23 个不明物体
看到litdg翻译的《》，感觉有些地方跟我想象的不一样，所以在litdg兄的基础上就行了更新，我是搞工业自动化的，恰巧阴差阳错的跟信息安全有了些交集，所以以ICS（工业控制系统）的视角，来阐述我对原文的理解。
真正用来破坏伊朗核设施的震网病毒，其复杂程度超出了所有人的预料。
作为第一个被发现的网络攻击武器，震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。围绕震网病毒的分析主要有：
（1）它是如何攻击位于Natanz的伊朗核设施的？
（2）它是如何隐藏自己的？
（3）它是如何违背开发者的期望并扩散到Natanz之外的？但是这些分析的主要内容要么是错误的要么是不完整的。
因为，震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”，即该功能用来改变铀浓缩的离心机转速，而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解ICS（IndustrialControl System的简称）信息安全的人来说简直是梦魇，奇怪的是“复杂功能”竟然先于“简单功能”出现。“简单功能”在几年后才出现，不久即被发现。&
随着伊朗的核计划成为世界舆论的中心，这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒对于伊朗核计划的真实影响并不确定，因为到底有多少控制器真正的被感染，并不清楚，没有这方面的消息。但是不管怎样，通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分析，不但分析其计算机代码，还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示，它包含震网病毒的第一个不为人知的变种（“复杂功能”），这一变种需要我们重新评估其攻击。事实上这一变种要比公众所认知的网络武器危险的多。
2007年有人在计算机信息安全网站VirusTotal上提交了一段代码，后来被证实是震网病毒的第一个变种（“复杂功能”），至少是我们已知的第一个。对于第一个震网病毒变种，在五年后（2012）大家基于震网病毒的第二个变种（“简单功能”）的了解基础上，才意识到这是震网病毒。如果没有后来的“简单功能”版本，老的震网病毒（“复杂功能”）可能至今沉睡在反病毒研究者的档案中，并且不会被认定为历史上最具攻击性的病毒之一。
今天，我们已经知道，拥有“复杂功能”的震网病毒包含一个payload，该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。
后来的震网病毒，被大家熟知的那个“简单功能”版，控制离心机的转速，通过提高其转速而起到破坏离心机的效果。老版本的震网病毒（“复杂功能”）其Payload采用了不同的策略，它用来破坏用于保护离心机的Safe系统。
译者注：工控系统中通常会部署Safe系统，当现场的控制器和执行器出现异常的时候，该Safe系统会运行，紧急停车防止事故发生。而本文论述的震网病毒“复杂功能”版，将Safe系统也攻陷了。震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的，因为离心机的转速不正常的情况下，Safe系统就会工作，会停止离心机的运转，这样伊朗的技术人员能够迅速的发现震网病毒。只有Safe系统也被破坏的情况下，震网病毒的“简单功能”才能够随意的控制离心机的转速。当然伊朗的Safe系统与工业现场的传统意义上的Safe系统有所不同，该Safe系统可以说是辅助系统，因为其离心机质量不过关，必须通过该Safe系统保证整体系统的正常运转。工业现场中很重要的一点是连续长时间的稳定运行。
Safe系统通常部署在发生异常的条件下，可能导致设备毁坏或生命财产损失的地方。在Natanz，我们看见一个特殊的安全保护系统，通过它的部署可以使得过时且不可靠的离心机型号“IR-1”持续的运转。安全保护系统是伊朗核计划的关键组成部分，如果没有它，离心机IR-1几乎无用。
IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计，70年代初被窃取，并被巴基斯坦的核贩子A.Q.Khan稍稍改进。全金属设计的IR-1是可以稳定的运行的，前提是其零件的制造具有一定精度，并且关键组件例如高质量频率转换器和恒力矩驱动质量很高。但是伊朗人并未设法从过时的设计中获取更高的可靠性。因此他们不得不降级离心机的运行压力在Natanz工厂。较低的运行压力意味着对转子的机械压力变小，这样离心机转子损坏就会降低，从而减少了由于转子损坏而使得离心机离线的数量。但是较小的工作压力意味着较少的产出，因而效率较低。IR-1离心机在最佳情况下，只能达到其最高产能的一半。
这种不可靠和低效率的IR-1型离心机，对于伊朗来说有一个显而易见的有点，伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率，他们能够接受在运行过程中一定数量的离心机损坏，因为他们制造离心机的速度比离心机损坏的速度要快多了。但是要想让所有的离心机工作，伊朗需要下一番功夫。通常，离心处理操作是一个严苛的工业流程，在流程运行过程中，它不可以存在任何的问题，甚至连小型设备的问题也不可以。伊朗建立了一套级联保护系统（译者：类似于Safe系统），它用来保证离心流程持续进行，即使离心机坏掉。
在离心机层，级联保护系统在每个离心机上安装了三个截止阀。通过关闭这些阀门，运行出故障的离心机可以从现有的系统上隔离出来。隔离后的离心机可以停机并被维护工程师替换，而工艺流程仍然正常运行。
上图是2008年，当时的总统艾哈迈迪.内贾德在Natanz的控制室观看SCADA的场景。面对摄影师的屏幕显示两个离心机已经被隔离，提示存在问题，但这并没有影响整个工艺流程的持续运行。（红色高亮显示的是有问题的离心机）
但是这种隔离阀的解决方案也导致了许多问题。当基于不可靠的离心机运行时，离心机会经常被关闭，当同组的离心机已经被隔离的情况下，维护工程师可能没有机会替换另一个刚刚毁坏的离心机（译者注：通常工业现场采用冗余，因此伊朗也很可能采用了离心机的冗余策略，即一个坏掉，可以马上切换到另外一个使其工作，问题他们的离心机太脆弱，会出现两个都坏了的情况。）如果同一个组中的离心机都停机了，运行压力（使用离心机进行铀浓缩过程中非常敏感的参数）将会升高，从而导致各种各样的问题。
伊朗人发现了一个很有创造力的解决方案来处理这一问题，在每一个铀浓缩组里，都安装了一个排气阀门，当同一组中的多个离心机停机被隔离时，随着压力的升高，该排气阀门可以排气并降低压力。在每一个离心处理组中，压力有传感器检测，如果压力超过限值，排气阀门就会被打开，降低压力。
这一系统可以保证Natanz的离心机运转，但是这也让它陷入了可能被远程网络攻击的泥潭，有时候会让人怀疑涉及这个系统的人是不是头脑混乱。
Nataz的级联保护系统基于西门子的S7-417系列工业控制器，这些控制器用来操控每个离心机上的阀门和压力传感器，共6组164台离心机。控制器可以被理解成一个嵌入式计算机系统，它直接连接物理设备，例如阀门。震网病毒被设计用来感染这些控制器，然后以用户难以想象的方式取得控制权，这种情况从来没有在ICS相关的会议上讨论过。
感染了震网病毒的控制器从真实的物理层断开了，合法的控制逻辑变成了震网病毒想让他展现的样子（译者注：就是控制器不在控制具体的物理信号和物理设备，仅仅是对上层应用程序提供一个看上去它还在正常工作的假象而已。）在攻击序列执行前（大概每个月执行一次），病毒代码能够给操作员展示物理现场正确的数据。但是攻击执行时，一切都变了。
震网病毒变种的第一步是隐藏其踪迹，采用了来自好莱坞的策略。震网病毒以21秒为周期，记录级联保护系统的传感器数据，然后在攻击执行时以固定的循环重复着21秒钟的传感器数据。在控制室，一切看起来都正常（译者注：因为攻击执行时，被感染的控制器重复的向控制室的监控中心发送的是正常的21秒周期传感器数据，所以监控中心完全发现不了。），既包括操作员也包括报警系统。
然后震网病毒开始其真正的工作，它首先关闭位于前两组和最后两组离心处理的隔离阀。阻止了受影响的级联系统的气体流出，从而导致其他的离心机压力提升。压力的增加将导致更多的六氟化铀进入离心机,给转子更高的机械应力。最终,压力可能会导致气体六氟化铀固化,从而严重损害离心机。
这种攻击一直持续到攻击者认为达到目的为止，根据监控到的离心机的工作状态而定。如果他们是为了毁灭性的破坏，那么很简单。在Nataz的案例中，一个控制器控制的气体固化可以轻易损坏上百台离心机。听起来这个目标非常有价值，但它也会暴露攻击者。伊朗的工程师在后期的分析中可以轻易的找到事故发生的原因。这次攻击的实现过程中，攻击者密切监视运行的压力和离心机的状态表明，他们小心翼翼的避免毁灭性的损坏。增大运行压力的方式看起来更像是为了让转子寿命更短一些。
不管怎样，攻击者非常谨慎的实施了这次攻击。攻击的代码设计如此精细，因为细小的改变或者配置错误都可能带来很大的影响，甚至导致程序崩溃，一旦崩溃，就会被伊朗的工程师发现从而暴露行踪。
这次过压的攻击结果也是未知的。不管是什么，在2009年的时候，攻击者决定尝试一些新的东西。
11篇文章等级：4级
这家伙太懒，还未填写个人描述！
伊朗的电脑怎么不下载金山毒霸？？
必须您当前尚未登录。
必须（保密）
这家伙太懒，还未填写个人描述！
分享每日精选文章独家连载 | 零日漏洞：震网病毒全揭秘（55）
遭到火焰攻击的，是Windows自动更新系统！微软要疯！卡巴斯基的研究员将这部分代码比作“上帝制作的漏洞利用程序”！火焰是如何做到的？……
第十五章 火焰（接上）
这天是美国阵亡将士纪念日的假期，当火焰病毒曝光的新闻出现时，位于华盛顿州雷德蒙德的微软公司总部根本没几个人上班。不过，公司应急响应团队一听说这场新攻击与震网和毒区来自同一批攻击者，立刻下载了火焰病毒的文件样本。他们想知道，这场新的攻击有没有像震网和毒区那样利用了Windows系统的零日漏洞。当他们仔细分析其中一个文件时，他们意识到，他们看到的，是比零日漏洞更为恐怖的东西——火焰攻击了微软的Windows自动更新系统，以实现其在局域网内传播的目的。
Windows自动更新系统，是微软用于向广大用户分发软件更新包和安全补丁的自动推送系统。要获得更新，需要用户计算机上的一个客户端工具与微软更新服务器进行联系，在可用更新出现时进行下载。
多年来，网络安全业界曾多次警告微软，要小心黑客攻击Windows自动更新系统，并用更新机制传播
，从而威胁亿万微软用户的安全。虽然火焰的攻击没完全实现警告中的预言，但形势同样凶险。它并未攻击微软向全体用户分发更新的Windows服务器，而是攻击了用户计算机上的“自动更新客户端工具”。这两者貌似区别不大，但这个区别非常重要。如果火焰攻击的对象是前者，就会在全球范围内造成广泛影响。但火焰采取的这种攻击方式意味着，它只会影响攻击者选定的那些小型目标网络，而不会危及目标网络以外的用户。
像Windows系统中的其他软件一样，微软也会对它的“自动更新客户端工具”进行更新。每当客户端工具成功安装到用户计算机上，都会立即向微软的服务器发送一个信标，看有没有新版本可供下载。微软则会通过一系列.CAB文件分发这些更新，并签上了微软公司的数字证书，以证明其合法性。
攻击者首先使用火焰病毒感染目标网络中的一台计算机，然后，当网络中其他计算机向微软服务器发送信标、检查客户端工具新版本时，已感染火焰的计算机就会对这个信标实施拦截，并将火焰的恶意文件打包为合法的微软.CAB文件，作为客户端工具的新版本发送给提出请求的计算机，从而实现火焰的传播。不过，这还不是攻击中最复杂的部分。为实现传播，攻击者为打包成.CAB文件的
签上了微软公司的数字证书，只不过把证书中的“公司名称”由“Microsoft Corporation”改成了“MS”。微软研究员很快注意到了这个细节。这个假冒数字证书由微软终端服务数字证书认证机构（Microsoft’s Terminal Services Licensing Certificate Authority）于2010年2月签发，但很明显，这不是一个由正规认证机构签发的合法证书。难道微软的服务器遭到了攻击，或者是数字签名的密钥被盗了？研究员必须在其他人成功模仿火焰攻击者的行为出现之前，抓紧时间分析出攻击者盗用数字证书的方法。因此，他们立即给处于休假状态的同事们打电话，把他们召回公司，组建了一个专项应急团队。
经过分析发现，攻击者用了一种名为“MD5哈希碰撞”的方式破解了微软数字证书。MD5哈希值是通过一种名为“MD5”的加密算法对数据加密后生成的一个值。由于每个数据用MD5算法运行之后都能得到一个唯一的值，因此人们普遍将这个值当作数据的“指纹”。然而，MD5算法已出现多年，而且存在一个致命的弱点——其他人可以用不同的数据，运行同样的算法，生成同样的MD5哈希值。这个过程就是哈希碰撞。基于此原因，很多公司都停用了MD5加密算法。但微软自从1999年构建终端服务认证机制至今，始终在使用MD5加密算法。
终端服务认证（TS Licensing）是微软公司向用户提供的一个服务，用户可以在运行微软服务器版操作系统的计算机上使用这项服务。通过这项服务，用户可以让多个用户或多台计算机同时使用服务器端的软件。不过，用户需要向微软公司购买认证，比如购买100个用户的认证权限，然后向微软终端服务数字证书认证机构提交申请。该机构会生成一个标有用户姓名的数字证书，上面还附有签发时间戳和数字证书的序列号。
当微软发布该证书时，会将包括签发时间戳和证书序列号在内的所有数据，用MD5加密算法加密，生成一个哈希值，然后用这个哈希值作为数字证书的签名文件，将它们一并发给用户。这样，用户就可以使用这个数字证书来确保，只有经过认证的计算机或个人才能使用这个软件。但在火焰事件中，攻击者通过“哈希碰撞”，实现了“用与微软公司同样的哈希值，为它们伪造的数字证书以及伪造.CAB文件开路”的目的。
在攻击者向微软提交数字证书请求之前，它们制作了一个含有“微软真实证书应有内容”信息的虚假证书，并进行了一些细微的改动。经过反复改动和调试，终于得出了与微软某个数字证书相同的MD5哈希值。这说起来容易，但可不是谁都能做到的。在这个过程中，必须要用MD5算法对虚假证书数据进行成千上万次加密运算和修改，才可能得到一个与微软真实证书完全一致的哈希值。这对计算机的运算能力要求非常高。同时，要做到这一点，攻击者还需要对“微软为数字证书安排序列号的规则”和“微软认证服务器签发证书的精确时间”了如指掌，因为，这些数据要和微软证书一并作为运行MD5加密算法的明文。如果在签发时间上出现了毫秒级的偏差，两个哈希值就会不一致，攻击者通过“碰撞攻击”得到的哈希值就无法成功还原成虚假证书。也就是说，在发动攻击之前，攻击者必须对微软终端服务认证机制进行全面的研究，并对多个（可能上百个）微软数字证书进行测试，最终才能得到正确的签发时间和序列号。
然后，攻击者用同样的哈希值还原出虚假证书，再用假证书让系统认为“内藏火焰文件的.CAB文件就是更新客户端工具的新版安装包”。由于哈希值是真的，系统根本无从辨别。
这段针对Windows更新机制的攻击，可以称得上是一项具有开创意义的数学研究成果，其水准之高，只有世界级密码专家才能企及。卡巴斯基的研究员听说此事后，将其称为“上帝制作的漏洞利用程序”，因为它超越了一般黑客的技术层次，其传播效果也大大优越于利用零日漏洞编写的恶意程序。如果攻击者更进一步，直接攻破Windows更新补丁服务器，那就真可谓登峰造极了。
微软的研究员起初估计，其他有实力的黑客要想掌握微软证书认证和更新系统中的漏洞，并模仿火焰发动新攻击、传播新病毒，怎么也得用12天。但他们扮演模仿攻击者，一步一步实施攻击所需步骤并同步记录时间后发现，如果真的有人想跳过MD5碰撞的部分，发动一个没这么复杂的类似攻击，只需3天即可实现。
为防止类似攻击出现，微软方面争分夺秒，针对潜在攻击者可能利用的漏洞，紧急发布了一个临时补丁。作为应对最严重漏洞的后备手段，此前，微软仅在2011年发布过一个临时补丁。这也充分表明，对于火焰对自动更新系统发动的攻击，微软上下高度重视，如临大敌。
之前，毒区和震网的攻击者已经撼动了因特网赖以生存的可信体制的基石。先是盗取了几家台湾公司的数字证书，用在震网的假驱动上；后是直接把毒区潜入数字证书认证机构内，并大肆盗取数据。不过，火焰中的这个漏洞利用程序比前两者走得更远。它凭借一己之力，动摇了世界上最大的软件生产商和它亿万用户之间的信任。假设美国政府是火焰的幕后操盘者，那么，在实施攻击之前，他们是如何说明其行动的合法性，并得到法律批准的呢？很可能是这样的：他们声称，火焰攻击的对象只是目标网络中的Windows个人用户，而非真正的微软公司服务器，因而不会给所有微软用户带来风险。通过这种方式，他们可以只对少量外国目标“开枪”，而不会伤及国内用户。
然而，虽然攻击者没有直接攻击微软服务器，但仍然对广大微软用户造成了不可挽回的伤害。攻击更新客户端工具的行为，已经破坏了用户对微软自动更新服务体系的信任，并会促使用户放弃使用这个工具，以免收到对系统安全造成危害的（虚假）更新包。
那么，谁应该为破坏微软公司与用户之间的信任负责呢？在火焰曝光的新闻发布3周后，几位前美国政府官员发声了。他们告诉《华盛顿邮报》，火焰是国家安全局、中情局和以色列军方发起的联合作战行动。
这几位匿名人士指出，正如卡巴斯基的拉伊乌团队所推断，火焰的研发工作始于2007年的某个时点。它的目的是收集与伊朗官员有关，以及有助于掌握伊朗核设施中计算机网络拓扑结构的情报。他们还说，火焰只是一个早期的侦察工具，之后被其他工具取代了。
“火焰的出现，是为了给另一个秘密作战行动探路。”另一名前任美国情报官员说，对伊朗核设施的网络侦察“不过是顺手牵羊而已。”他说的“另一个秘密行动”，可能是指“国家安全局使用某种预埋后门，通过无线电波回传目标计算机数据”的网络侦察行动。 （见第17章）
值得一提的是，他们还揭秘了当年早些时候发生在伊朗的“清除者”攻击事件。他们告诉报社记者说，不小心牵出火焰的那次针对伊朗石油部的攻击也是政府部门的杰作。但是，与震网和火焰不同的是，“清除者”攻击不是由美以两国联合发起，而是以色列单独实施的。他还说，就是因为这场攻击（被发现），才让美国方面猝不及防。（待续）
译者：李云凡通过profibus或profinet传输病毒，然后拦截上位机的程序，插进一段修改过的程序给外部传动或控制器导致故障发生，但给上位机监控软件发送一个错误的但正常的值，说白了就是欺上瞒下，但给做到精确攻击和隐秘性，专业性，确实很牛。
&p&首先得明白震网病毒是干什么的。虽然没有确凿证据，但是鉴于震网病毒的威力以及造成的后果，基本确认是美国情报部门在以色列的帮助下研发的为破坏伊朗核设备运作的病毒。&/p&&br&&p&震网具体的工作，是通过U盘传播、隐藏、潜伏到西门子的一款顶尖的工业用工程控制器里面。在适当的时候病毒就会获取控制权，给机器发出错误的运作指令，让机器不断在异常状态下工作，直到超负荷报销，&strong&同时，他又给监控的人发出机器正常运作的假象，隐藏真象。 &/strong&&strong&最后，伊朗的核研究设施被破坏了。&/strong&&/p&&br&&p&这期间病毒完成这一任务的能力可谓史无前例。&/p&&br&&p&首先，传播就非常隐秘。现在看来，只用U盘的传播方式似乎是显而易见，但在当时，要做出这个判断难度极大。这个病毒最初被赛门铁克发现是由于他们的客户报告了他们电脑中的可疑行为。没有任何其他信息，就像瞎子偶尔听到风声，到底声音哪里来都不知道，直到他们把病毒代码单独分离后，再经过对感染的对象进行系统分析后，才确定传播途径，但那时候，病毒已经渗透到他要去的地方 - 伊朗了。如果这是对人体有害的病毒，已经为时已晚了。&/p&&br&&p&其次，他传播后能消除自己的痕迹，因为震网是专门针对西门子工业控制器的，只会在那个地方停留。这样就无法确认他到底感染过什么设备。更难追踪它的来源。&/p&&br&&p& 另外最重要的一点，它对要感染的目标隐藏得很深。研究人员在分离出病毒代码以后，很长一段时间毫无进展，就是因为不知道它的目标到底是什么？ 他们找到一段疑似攻击目标的奇怪字符，但是当时无法确定是西门子控制器，因为那是只有使用该控制器这个领域接触过这个东西才有可能知道那个代码所代表的东西。后来研究人员是通过一个在欧洲一个大学教授指导下才查到病毒的目标是西门子的控制器。
&/p&&br&&p&但是，知道了感染目标，他们还是不知道震网具体能干什么？更不知道是为了破坏核设施。因为西门子的控制器可以做很多事情，经过编程，它可以控制任何的机器设备。而震网病毒对核设施的控制指令根本不是当时只是熟悉软件的安全人员能搞得明白的。而实际到最后，研究人员是在伊朗核设施被破坏以后，他们看到新闻，然后对比联合国的数据，才得出这个结论。&/p&&br&&p&而实现这一系列功能的震网代码，其简练程度令人发指。也是基于这一点，安全人员几乎肯定只有美国才有这个实力制作出这种精密设计的程序。而只有以色列有这种强烈的动机。&/p&
首先得明白震网病毒是干什么的。虽然没有确凿证据，但是鉴于震网病毒的威力以及造成的后果，基本确认是美国情报部门在以色列的帮助下研发的为破坏伊朗核设备运作的病毒。震网具体的工作，是通过U盘传播、隐藏、潜伏到西门子的一款顶尖的工业用工程控制器里…
已有帐号？
无法登录？
社交帐号登录
我喜欢大家一起聊聊震网病毒的特点和传播途径_病毒知识
震网病毒的特点和传播途径
学习啦【病毒知识】 编辑：林辉 发布时间：
　　008年，&震网&病毒攻击就开始奏效，伊朗核计划被显著拖延，它有什么特点和传播途径呢!下面由学习啦小编给你做出详细的震网病毒的特点和传播途径介绍!希望对你有帮助!
　　&震网&病毒的特点：
　　1、与传统的病毒相比，&震网&病毒不会通过窃取个人隐私信息牟利。
　　2、由于它的打击对象是全球各地的重要目标，因此被一些专家定性为全球首个投入实战舞台的&网络武器&。
　　3、无需借助网络连接进行传播。安全专家在对软件进行反编译后发现，&震网&病毒结构非常复杂，因此它应该是一个&受国家资助高级团队研发的结晶&。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件，并且代替其对工厂其他电脑&发号施令&。
　　4、极具毒性和破坏力。&震网&代码非常精密，主要有两个功能，一是使伊朗的离心机运行失控，二是掩盖发生故障的情况，&谎报军情&，以&正常运转&记录回传给管理部门，造成决策的误判。在去年的攻击中，伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。
　　5，&震网&定向明确，具有精确制导的&网络导弹&能力。它是专门针对工业控制系统编写的恶意病毒，能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击，不再以刺探情报为己任，而是能根据指令，定向破坏伊朗离心机等要害目标。
　　6，&震网&采取了多种先进技术，具有极强的隐身性。它打击的对象是西门子公司的SIMATICWinCC监控与数据采集(SA)系统。尽管这些系统都是独立与网络而自成体系运行，也即&离线&操作的，但只要操作员将被病毒感染的U盘插入该系统USB接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得该系统的控制权。
　　7，&震网&病毒结构非常复杂，计算机安全专家在对软件进行反编译后发现，它不可能是黑客所为，应该是一个&受国家资助的高级团队研发的结晶&。美国《纽约时报》称，美国和以色列情报机构合作制造出&震网&病毒。
　　&震网&病毒的传播：
　　计算机安全专家在对&震网&的病毒进行了深入分析后发现，这可能是全球第一种投入实战的&网络武器&。新病毒采取了多种先进技术，具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在不需要任何操作的情况下，取得工业用控制权。&
　　专家说，该病毒可以通过移动存储介质和进行传播，并且利用西门子公司控制系统(SIMATIC　WinCC/Step7)存在的漏洞感染数据采集与监视控制系统(简称SCADA)。其中SCADA系统广泛用于能源、交通、水利等系统，一旦遭受病毒侵害，会严重影响正常的生产和生活。
　　自动化软件被誉为自动化系统的&灵魂&，目前&震网&(Stuxnet)病毒对伊朗核电站自动化系统的破坏，其切入口就是系统的监控和数据采集系统，俗称上位监控软件。伊朗布舍尔核电站的上位监控软件由西门子公司提供，是西门子的重要品牌SIMATIC WINCC。
　　该病毒可通过U盘传播，自动识别攻击对象，具有极强的隐身和破坏能力，可以自动取得自动化系统的控制权限，从而窃取保密信息、破坏系统运行，甚至控制系统的运行等。&震网&(Stuxnet)病毒的出现和传播，威胁的不仅仅是自动化系统的安全，而且使自动化系统的安全性上升到国家安全的高度。目前我国的大型项目和工程，水利、核电、交通、石化、钢铁等，绝大部分采用国外品牌的自动化软件，其中包括西门子的SIMATIC WINCC。业内人士担忧，一旦&震网&(Stuxnet)病毒流入黑市传播，后果将不堪设想。
看过&震网病毒的特点和传播途径 &人还看了：
本文已影响 人
[震网病毒的特点和传播途径]相关的文章
看过本文的人还看了
692人看了觉得好
670人看了觉得好
713人看了觉得好
【病毒知识】图文推荐
Copyright & 2006 -
All Rights Reserved
学习啦 版权所有