什么是震网病毒（Stuxnet）

震网（Stuxnet），又称作超级工厂，是一种Windows平台上的计算机蠕虫，2010年6月首次被白俄罗斯安全公司VirusBlokAda发现，其名称是从代码中的关键字得来，它的传播从2009年6月或更早开始，首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒，利用西门子公司控制系统（SIMATIC WinCC/Step7）存在的漏洞感染数据采集与监控系统（SCADA），能向可编程逻辑控制器（PLC）写入代码并将代码隐藏。

这是有史以来第一个包含PLC Rootkit的电脑蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。此外，该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道，该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施，并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示，该蠕虫事实上并没有造成任何损害。

赛门铁克安全响应中心高级主任凯文·霍根（Kevin Hogan）指出，在伊朗约60%的个人电脑被感染，这意味着其目标是当地的工业基础设施。俄罗斯安全公司卡巴斯基实验室发布了一个声明，认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型，这种网络武器将导致世界上新的军备竞赛，一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助，否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。

Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中，MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统（其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞），2个针对西门子SIMATIC WinCC系统。

它最初通过感染USB闪存驱动器传播，然后攻击被感染网络中的其他WinCC计算机。一旦进入系统，它将尝试使用默认密码来控制软件。[3]但是，西门子公司不建议更改默认密码，因为这“可能会影响工厂运作。”

该蠕虫病毒的复杂性非常罕见，病毒编写者需要对工业生产过程和工业基础设施十分了解。利用Windows的零日漏洞数量也不同寻常，因为Windows零日漏洞的价值，黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。Stuxnet的体积较大，大约有500KB，并使用了数种编程语言（包括C语言和C++），通常恶意软件不会这样做。Stuxnet还通过伪装成Realtek与JMicron两家公司的数字签名，以绕过安全产品的检测并在短期内不被发现。它也有能力通过P2P传播。这些功能将需要一个团队，以及检查恶意软件不会使PLC崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯（Eric Byres）告诉《连线》，编写这些代码需要很多人工作几个月，甚至几年。这样大费周章的设计，也是该软件被怀疑有军事背景的因素。 来自维基百科