stuxnet病毒 stuxnet( 二 ) _生活百科-「四川龙网」

文章插图
西门子工业控制系统不是传统的黑客目标，因为黑客攻击它们没有明显的经济收益，它似乎只是从系统中窃取配置和设计数据，看起来就像是一起工业间谍案。但是。。震网绝没有如此简单震网每感染一个系统，它会"打电话"到托管在马来西亚和丹麦的两个服务器上-报告有关受感染的机器的信息。包括机器的内部和外部 IP 地址、计算机名称、操作系统和版本，以及西门子 Simatic WinCC Step7 软是否安装在机器上。并可以命令和控制受感染的计算机，例如更新震网，增加功能，甚至在系统上安装更多的恶意文件。这两个域名的 DNS 提供商已经对传入的流量进行了限制，以防止其到达到攻击者手中。赛门铁克联系了dns供应商，转移了解析线路，一周以后，赛门铁克收到来自几十个国家大约40000台计算机的感染信息，预计几天后，这个数字将会飙升到10万以上。

文章插图
位于马来西亚的服务器将这些感染计算机的地理位置绘制成分布图时，出现了一种奇怪的现象。在最初的38 ， 000例感染中，约有22 ， 000例发生在伊朗。遥遥领先于第二位印度尼西亚的6 700例，其次是印度，约有3 700人感染。美国只有不到400个。在这38000例中，只有少数机器安装了西门子step7软件——其中217台在伊朗， 16台在美国。这个数据非常奇怪——伊朗从未在计算机病毒感染统计中排名如此之高，通常是韩国和美国一直名列前茅，因为它们的互联网用户数量最多。即使在以中东或中亚为中心的计算机疫情中，伊朗也从未排名如此之高。很明显，伊朗是“震网”感染的中心。种种因素叠加，使“震网”看起来像是一个网络武器，甚至可能是美国的网络武器。

文章插图
网络武器随着对病毒的进一步解构监控，研究人员发现，震网除了利用 LNK 漏洞之外，还使用了其余三个0DAY漏洞，第二个是 Windows 打印服务漏洞，在使用共享打印机的机器之间展开传播。第三个和第四个漏洞攻击了 Windows 键盘文件和计划任务事件中的漏洞，从而提升攻击者在计算机上的权限，并完全控制它。此外， Stuxnet 还利用了西门子在其 Step7 软件中硬编码的静态密码。使其访问并感染托管数据库的服务器，并从那里感染连接到服务器的其他计算机。研究还发现，震网的每一次传播都会在自身中记录它所感染的每个系统的IP和时间戳。这使得能够追溯到原始受感染的计算机，经过分析，袭击者将攻击重点放在伊朗五个组织的计算机上，这五个组织在2009年6月和7月以及2010年3月、4月和5月再次受到不同感染的反复打击，这其中就包括位于纳坦兹的核浓缩工厂的铀离心机

文章插图
STUXNET 震网病毒导致受感染的伊朗IR-1型离心机从正常运行速度1064HZ增加到1410HZ并持续15分钟，然后恢复到正常频率， 27天以后震网再次行动，将受感染的离心机运行速度减慢到几百HZ持续50分钟，过大、速度较慢的压力导致铝离心管膨胀，迫使部分离心机相互接触，使机器收到损坏这些损坏可能将伊朗的核计划拖慢2年的时间那如此复杂的“震网病毒”到底是谁创造的呢？各大安全厂商认为，如此复杂和危险的恶意程序，不是个人或民间组织能够研发出来了，它的背后可能是一个国家在支持。直到今日，震网的始作俑者仍然没有浮出水面，但是各国之间的网络战争却才刚刚开始。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：