震网事件伊朗核电站用的什么系统

㈠ 为什么微软曝光的漏洞被称为“震网三代”

6月14日，每月的第二个周二是微软公司集中发布一批影响其产品安全漏洞的补丁日。从今日凌晨发布的情况看，有两个特殊漏洞值得关注：正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件（快捷方式）远程代码执行漏洞。其中，CVE-2017-8464被一些人称为“震网三代”。

2010年，间谍组织买通伊朗核工厂的技术人员，将含有漏洞（CVE-2010-2568）利用工具的U盘插入了核工厂工业控制系统的电脑，被利用漏洞控制后的电脑继续攻击了核设施中的离心机设备，导致设备出现大量损坏，影响了伊朗核计划的进程。此事件被曝光解密后，被业界称为“震网事件（Stuxnet）”。

本次曝光的“LNK文件远程代码执行漏洞”同“震网事件”中所使用的、用于穿透核设施中隔离网络的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用，并组装成用于攻击基础设施、核心数据系统等的网络武器。因此，被称之为“震网三代

㈡ 震网病毒如何攻击伊朗核设施

利用0day漏洞破坏伊朗那些核设施。似乎是对攻击那些工业控制系统之类制作的，通过指令破坏控制系统进而破坏了伊朗那些核设施

㈢ 震网病毒怎么可能攻击伊朗核电站，难道核电站连得是互联网，那不是谁都可以攻击。伊朗核电站不怕吗拜托各

这是很正常的，美国国防部五角大楼拥有着全世界最强的防护网，照样有黑客攻击。

㈣ 伊朗核问题实质

伊朗的核计划开始于20世纪50年代后期，其核技术大部分从与当时关系密切的美国及西方国家引进。1979年伊朗伊斯兰革命后，其核能项目陷于停滞状态。90年代初，伊朗开始与俄罗斯商谈恢复修建有关核电站问题，并与俄签署《和平利用核能协议》。 1980年与伊朗断交的美国对伊俄核合作十分不满，曾多次指责伊朗以“和平利用核能”为掩护秘密发展核武器，并一直对其采取“遏制”政策。“9·11”事件之后，美国将伊朗视为支持恐怖主义的国家和“邪恶轴心”国家之一。
2003年2月，伊朗宣布发现并提炼出铀后，其核计划立即遭到美国的“严重质疑”，并引起国际社会的极大关注。同年9月12日，国际原子能机构理事会通过决议，要求伊朗在10月底前公开核计划，以澄清其全部核活动，尽快签署《不扩散核武器条约》附加议定书，允许国际原子能机构对其进行更为严格的突击检查，终止提炼浓缩铀试验。
在法德英三国的斡旋下，伊朗于2003年12月18日签署了《不扩散核武器条约》附加议定书。(依朗核问题的背景)
依朗核问题的现状
为充分利用核能资源，伊朗自20世纪50年代后期开始其核能发展计划，并先后投入大量资金，建立了一个核电站、6个核研究中心和5个铀处理设施。
目前，伊朗核计划已经发展到关键阶段，即核燃料循环系统建设阶段。这个系统建成后，便可为伊朗的核电站和研究机构提供燃料，同时也可以进一步提高浓缩铀的丰度，使伊朗能够获得武器级高浓缩铀。
有资料表明，伊朗已在其中部发现铀矿资源，并正在建设基于高速离心机技术的浓缩铀设施，为建成一个完整的核燃料循环系统做准备；伊朗南部布什尔核电站在俄罗斯的帮助下已经建成；伊朗还在建设重水反应堆，这将使伊朗能够更有效地从核废料中获取金属钚。根据美国和西方国家的情报，伊朗目前已经迈进了核门槛，但还未能获得制造核武器所需的武器级浓缩铀或钚。
伊朗前总统哈塔米2003年2月9日发表电视讲话时宣布，伊朗已在雅兹德地区发现铀矿并已成功提炼出铀，伊朗将开采铀矿并将建设铀转换和铀浓缩设施，以便建立一个完整的核燃料循环系统。
伊朗方面2003年10月透露，德黑兰核研究中心曾进行钚回收试验。国际原子能机构估计伊朗已经分离出100克的钚。
2004年9月21日，伊朗副总统兼原子能组织主席拉扎·阿加扎德说，伊朗已开始将37吨“铀黄饼”（即铀矿料）的一部分用于铀转化试验。
今年1月1日，伊朗宣布已经开发出用“混合澄分”法从铀矿石中提取铀浓缩所需要的“铀黄饼”的技术。该技术使伊朗朝自主建设核燃料循环系统迈进了一步。
铀浓缩是生产核燃料的关键环节。伊朗2003年10月中止了铀浓缩活动，2004年11月中止了与铀浓缩有关的一切外围活动。但2005年8月，伊朗又重新启动作为铀浓缩准备阶段的铀转化活动。
依朗核问题大记事
伊朗核问题由来已久，美国一直指责伊朗从20世纪80年代中期就开始实施秘密的核武器发展计划，而伊朗始终否认有核武器发展计划，它的核计划是为了和平利用核能，建立完整的核燃料循环体系是为了自力更生确保核电站的核燃料供应。这次核风波是从2002年8月15日伊朗反对派组织伊朗全国抵抗委员会向媒体揭露伊朗正在秘密建造两座核设施而开始的，一直延续至今，现将这两年多来有关伊朗核问题的大事记摘要如下：
截至2005年4月，欧盟与伊朗举行多轮谈判，但在一些关键问题上无法达成一致，谈判陷入僵局。
2005年5月25日，欧盟三国与伊朗在外长级会议上商定，欧盟在约两个月内提出一个推进与伊朗在技术和核能领域合作的综合计划，当年8月恢复双方的谈判。
8月5日，欧盟在向伊朗提交的提议中承认伊朗享有和平利用核能的权利，但敦促伊朗放弃与铀浓缩有关的一切活动，改由他国提供核燃料。
8月8日，伊朗重启中部城市伊斯法罕的铀转化设备，伊朗与欧盟的谈判再次陷入僵局。
9月24日，国际原子能机构理事会以投票表决方式通过决议，指出伊朗多次不履行和违反《不扩散核武器条约》等有关文件，但没有明确要求立即将伊朗核问题向联合国安理会报告。
10月上旬，俄罗斯建议允许伊朗从事铀转化活动，而将后续的铀浓缩活动转移到俄罗斯境内完成，以确保其核技术不会用于军事目的。
11月24日，国际原子能机构理事会决定暂时不将伊朗核问题提交联合国安理会，以使伊朗与欧盟就俄罗斯提出的妥协方案进行磋商。
12月21日，欧盟和伊朗的高级官员在维也纳就伊朗核问题进行接触，同意双方2006年1月18日再次会晤，就化解伊朗核问题的分歧寻求共同点。
12月24日，俄罗斯正式向伊朗提出在俄境内与伊建立铀浓缩联合企业的建议。
2006年1月3日，伊朗宣布将重新启动核燃料研究设施。
1月7日，伊朗与俄罗斯开始就俄建议展开会谈。
1月10日，伊朗正式启封核燃料研究设施。
2006年春季，西方与伊朗在核问题上的对峙，已经进入一个非常危险的阶段。备受争议的伊朗总统马哈茂德·艾哈迈迪·内贾德(Mahmoud Ahmadinejad)在4月11日宣布，伊朗已经提炼出浓度达3.5%的低浓缩铀；国际社会对伊朗核计划发展的担心陡然加速。
同伊朗目前强硬路线相呼应的是，以美国《纽约客》杂志为首的一批西方媒体相继作出“美国计划对伊朗核目标实施军事打击”的报道，“动武论”一时甚嚣尘上。而国际原子 能机构主席巴拉迪在4月28日做出的对伊朗核计划进行评估的报告，几乎无法对伊朗给予有利的评价。由外交斡旋发展到制裁，以及以美国为首的西方国家对伊朗核设施实施空中打击的阴影，都使得伊朗核问题成为当前国际关系中最迫切、最棘手的问题。

伊朗核问题溯源

造成伊朗核问题今日今时危局的主要原因远远超越了伊朗自身，而是深深扎根于一系列错综复杂的国际关系，其中包括伊朗同西方、伊朗同以色列、伊朗同阿拉伯世界、阿拉伯世界之间、美国同欧洲围绕核计划，以及伊朗什叶派神权政权间种种相互交织的利益与冲突。
从历史事件上看，以上种种关系的由来又可以追溯到1979年的伊朗伊斯兰革命，几乎持续上世纪整个80年代的两伊战争，因伊拉克侵略科威特以及巴以冲突而加剧的阿拉伯世界的内部分歧，甚至“9·11”事件后恐怖主义势力发展对西方体系的冲击。
国际社会之所以为伊朗核计划忧心忡忡，并不在于伊朗作为《核不扩散条约》的签字国是否具有和平发展核能的权利，而是在于伊朗始终无法让国际社会信服其核能开发是完全出于和平目的。国际社会进而担心，伊朗在接受国际核监督之外，还可能另有一套用于制造核武器的核计划。在恐怖主义和大规模杀伤性武器日益成为国际社会心腹大患之时，一个拥有核武器、并且在西方眼里同恐怖组织有千丝万缕联系的伊朗，对西方而言是完全不可容忍的。这也就解释了美国的底线：伊朗绝对不能拥有核武器。
在伊朗的强硬与西方的恫吓背后，伊朗距离美国的底线究竟有多远？根据制造核武器的基本知识，天然条件下出产的铀矿需要加工成所谓的铀浓缩体(俗称“黄色蛋糕”)，然后转变成铀四氟化物(UF4)，后者再进一步转换成为气态的铀六氟化物(UF6)，然后通过离心机将铀六氟化物加工成低浓缩铀(就是目前伊朗宣布已取得的技术突破)，低浓缩铀进一步浓缩成高浓缩铀，后者既可产生民用核能，也可以用来制造核武器。
如果伊朗的声明属实，根据有关专家估算，它距离生产出制造一枚原子弹所需要的高浓缩铀还有十三年零七个月。但令国际社会担心的是，伊朗不会满足于其目前拥有的164台离心机机组——伊朗已经声称到今年底修建由3000台离心机组成的机组。据估算，这样规模的机组将可以在271天内造出一枚原子弹所需的高浓缩铀。而伊朗的内坦兹核工厂的装机设计容量是5万台离心机，假设在美国的炸弹降落下来之前建成并全力运行，只需16天就可以造出一枚核弹所需量的高浓缩铀。
去年俄罗斯为解决僵局提出的在其领土上建立合作核燃料工厂的提案，主要是避免让伊朗完成浓缩铀的全过程，即将“黄色蛋糕”之后的阶段转移到俄境内进行加工。而伊朗宣称的低浓缩铀的制成，标志着伊朗掌握了浓缩铀的全过程技术。因此，内贾德在4月11日骄傲地宣称，伊朗从此加入核俱乐部的行列。

一意孤行

今年2月，伊朗核问题被报告给安理会后，国际社会并未放弃在国际原子能机构的外交框架下解决该问题。但以内贾德为代表、主张发展核计划的强硬势力，至少在目前看来已经成为伊朗外交的主要声音。这种执意独立发展伊朗核工业的心态，主要来自在1980-1988年两伊战争中成长起来的新一代伊朗领导人，既对西方核不扩散承诺的质疑，更对核武器禁忌不屑一顾。
在两伊战争期间，萨达姆对伊朗军队使用了化学武器，但在当时几乎整个阿拉伯世界和西方都支持伊拉克的情况下，世界舆论对萨达姆的行为指责寥寥。在意识形态以及地缘政治的考虑成为决策核心时，世界默许乃至纵容了萨达姆的行为。美国外交关系协会中东研究高级研究员雷·塔基亚(Ray Takeyh)在今年春季号的《国家利益》杂志中指出，对内贾德这样两伊战争老兵出身的新一代领导人而言，战争教给他们这样的信条：国家的独立和领土完整只能靠自身的发展来保证，寄望国际公约和西方的善意是行不通的。
而在伊朗看来，美国对以色列实际拥有核武器的支持，以及最近美印之间关于核合作的条约，都表明以美国为首的西方在核不扩散问题上实行双重标准——对“民主国家”和盟友，完全可以罔顾以色列和印度不是《核不扩散条约》签字国的事实，对其发展核工业乃至核武器开绿灯，不惜一再破例；但对伊朗这样身为条约签字国的国家，仅因为其同美国不和，就可以被剥夺利用核能的权利。
在西方世界的双重标准下，自主开发核能乃至最终造出核武器成为伊朗维护国家民族尊严和安全的虚实双重保证。在两次伊拉克战争以及阿富汗战争中，美军常规力量所显示出来的压倒优势，以及最近对伊朗核设施使用战术核武器论调的抬头，更使伊朗强硬派领导人确信，只有核威慑才能避免伊朗沦为下一个萨达姆或塔利班。这种看法伴随着美国在海湾地区军事存在的加强，美国全球民主化进程的加速，以及政权更迭(regime change)的威胁，增强了伊朗建立核威慑的迫切性。
内贾德认为，核问题仅是美国挑战伊朗神权政权的第一步，即使伊朗按照美国要求停止核计划，美国依然会以伊国内的人权、民主问题为借口步步进逼，直到1979年伊斯兰革命以来的政权被推翻。美国国务卿赖斯要求的用于“推进伊朗国内民主力量发展”8500万美元拨款，也被认为是美在伊朗实现政权更迭的步骤之一。

德黑兰权力架构

根据伊朗宪法，国家最高领导人，即精神领袖哈梅内伊(Ayatollah Khamenei)是武装力量统帅，同时也控制国家宣传机器和国家司法权。
伊朗外交政策的决策机构是国家最高安全委员会(SNSC)，该委员会目前为拉里贾尼(Ali Larijani)领导，他也是此次核危机中伊朗的首席谈判代表；但哈梅内伊对最高安全委员会的决定拥有最终决定权。在4月5日美国外交关系委员会举办的关于伊朗核问题的讨论会上，国立伊朗大学的国家关系教授马哈穆德·沙里奥哈兰(Mahmood Sariolghalam)表示，从哈梅内伊掌权的17年历史来看，他既不希望同西方实现和解，同时也不希望发生同西方的对抗。
另一方面，伊朗的国会以及由前总统拉夫桑贾尼(Ali Rafsanjani)领导的权宜委员会(Expediency Council)都有大批持温和立场的改革人士。在伊朗国内经济、失业问题日益突出的今天(伊朗75%人口不足30岁)，解决国内的发展问题更多成为上层的改革人士和广大民众关注的重心。
在这种独特的外交、内政决策机制下，伊朗国内民生问题的日益突出，使得国际社会抱有希望：伊朗可以通过内部的角力来取得核问题的解决。这也是为何国际社会选择一面向伊朗提供合作的美好前景，另一面辅以包括制裁在内的压力的软硬两手策略。
在伊朗立场日趋强硬的今天，要求挥舞大棒的声音也日益升高。同样在4月5日的外交关系委员会研讨会上，布鲁津斯学会中东政策研究室主任肯尼斯·波拉克(Kenneth Pollack)指出，在伊朗经济日益需要境外资本的今天，特别是未来五年伊朗每年需要200亿美元、未来十年需要700亿美元用来更新石油工业的融资计划，对伊朗实行投资制裁会取得相当不错的结果，同时又不会引发类似当年制裁伊拉克导致的人道主义灾难。
一旦包括外交途径以及投资制裁这样的“软制裁”方式，仍无法使伊朗停止浓缩铀活动的话，那么，更严厉的制裁乃至“外科手术式”的空中打击就会成为一个选项。而这种选项的不利之处，除了具体的军事方面的局限性(比如无法保证一次性消除所有的伊朗核设施，以及尽管核设施本身的消除，但有关核技术的知识却无法根除)，还包括对油价不断创下新高的国际石油市场产生重大冲击，对伊朗周边的阿拉伯国家国内政治经济、对巴以冲突的解决种下种种恶果等。
勿轻言战端

一个核武装的伊朗将打破中近东地区的战略平衡，会影响到以逊尼派穆斯林为主的阿拉伯国家对权力的控制，同时可能产生所谓的“伊朗伊斯兰革命输出”，引发类似伊拉克目前的逊尼和什叶教派之争。
但西方也有投鼠忌器的一面：战端一开，目前刚刚迎来新总理的伊拉克，可能因为伊朗公开支持伊拉克境内的什叶派力量，再次将伊拉克动荡不安的国内安全局势送到一个更加危险的境地。此外，西方指责的伊朗同黎巴嫩真主党武装的联系，同叙利亚的密切关系，连同伊朗对巴勒斯坦哈马斯政府的支持，都会因此得到加强，从而对美国在这一地区的反恐事业产生严重不利影响。
此外，在萨达姆在上世纪90年代初发动对科威特的侵略后，整个阿拉伯世界呈现“中东政治美国化”的局面，彼此间的互信程度下降，各国忙于自保。而另一场海湾地区战争的后果，很可能再次强化美国的在该地区本已十分强大的存在，加强阿拉伯国家互相孤立、各自为政的局面，导致阿拉伯世界在所谓的文明冲突中再次败下阵来。
因此，阿拉伯世界如果不是反对用军事手段解决伊朗核问题，至少也不希望造成支持美对伊朗军事打击的印象。对美国而言，如果不能聚合尽可能多的盟友，特别是阿拉伯盟友，发动对伊朗的攻击将令其摆脱霸权形象的努力付之东流。
更为严重的是，鉴于美国正在世界推行的“民主化”浪潮，伊拉克战争似乎昭示着，至少在中东地区，战争已成为推进民主的主要手段。而一场对伊朗的军事打击将会导致这种印象实质化。这无疑对美国“民主化”的推进不利，使其民主成本呈指数级加大。
西方内部的分歧也几乎排除了近期进行军事打击的可能。尽管欧洲三国(法国、德国和英国)在过去三年多的谈判中无功而返，目前站在美国一边要求对伊朗采取强硬立场，但美欧在处理方式上仍有本质区别：对欧洲国家而言，通过外交手段解决争端是他们的原则，并不是一时之计。而美国则不同，主张用外交手段更多是考虑到眼下进行军事打击的准备不够充分，是一种权益之计。欧洲主张必须在穷尽外交手段之后，才可以另寻它途，美国的布什政府显然没有这种信条与耐心。围绕伊朗核问题的种种错综复杂关系使得该问题的解决分外棘手。但外交斡旋不会因为巴拉迪报告的出台而就此停止。相关各方将会各尽其力，寻求一个尽可能令各方保住面子，同时又不至于导致局面不可收拾的解决方案。安理会成为各方角力的主战场的事实，并不理所当然地意味外交——制裁——战争这一路径的不可逆转。伊朗核问题的反复，也意味着其解决进程的一波三折。世界仍旧需要更多的耐心

㈤ 震网病毒的深度分析

2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫（俗称“震网”、“双子”）在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，截止到2010年09月全球已有约45000个网络被该蠕虫感染， 其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、600多个不同哈希值的样本实体。 2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中，即刻退出。
被攻击的软件系统包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后，典型的运行流程如图1 所示。
样本首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。
接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。
具体而言，样本先申请足够的内存空间，然后Hookntdll.dll导出的6个系统函数： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此，样本先修改ntdll.dll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现hook。
进而，样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。
图1 样本的典型运行流程
此后，样本跳转到被加载的DLL中执行，衍生下列文件：
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程序都使用了Rootkit技术，并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统进程的镜像加载操作，将存储在%Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中，后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件（图2 ）。
图2驱动程序隐藏某些lnk文件
图3 样本的多种传播方式
2.3 传播方式Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。
整体的传播思路是：首先感染外部主机；然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。
2.3.1. 快捷方式文件解析漏洞（MS10-046）
这个漏洞利用Windows在解析快捷方式文件（例如.lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。具体而言，Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备（图4）。一旦发现，就将快捷方式文件和DLL文件拷贝到其中（图5）。如果用户将这个设备再插入到内部网络中的计算机上使用，就会触发漏洞，从而实现所谓的“摆渡”攻击，即利用移动存储设备对物理隔离网络的渗入。
图4 查找U盘
拷贝到U盘的DLL文件有两个：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数：
FindFirstFileW FindNextFileW ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。
图5 拷贝文件到U盘
2.3.2. RPC远程执行漏洞（MS08-067）与提升权限漏洞
这是2008年爆发的最严重的一个微软操作系统漏洞，具有利用简单、波及范围广、危害程度高等特点。
图6 发动RPC攻击
具体而言，存在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播（图6）。利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限（图1），然后再次尝试攻击。截止本报告发布，微软尚未给出该提权漏洞的解决方案。
2.3.3. 打印机后台程序服务漏洞（MS10-061）
这是一个零日漏洞，首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。
图7 利用打印服务漏洞
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示，它向目标主机发送两个文件：winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式（MOF）文件，在一些特定事件驱动下，它将驱使winsta.exe被执行。
2.3.4.内核模式驱动程序（MS10-073）
2.3.5.任务计划程序漏洞（MS10-092）
2.4 攻击行为
Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统（图8）：
HKLMSOFTWARESIEMENSWinCCSetup
HKLMSOFTWARESIEMENSSTEP7
图8 查询注册表，判断是否安装WinCC
一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：
一是WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库（图9）。
二是在WinCC需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。
图9 查询WinCC的数据库
2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中，各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本，都是exe文件，它在自己的.stud节中隐形加载模块，名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本，当系统显示快捷方式文件时触发漏洞，加载~wtr4141.tmp文件，后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块，这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。
图10 样本文件衍生的关系
模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作，它导出了22个函数来完成恶意代码的主要功能；在其资源节中，包含了一些要衍生的文件，它们以加密的形式被保存。
其中，第16号导出函数用于衍生本地文件，包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序，以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞，它释放一个s7otbxdx.dll，而将WinCC系统中的同名文件修改为s7otbxsx.dll，并对这个文件的导出函数进行一次封装，从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中，资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。 3.1 抵御本次攻击
西门子公司对此次攻击事件给出了一个解决方案，链接地址见附录。下面根据我们的分析结果，给出更具体的措施。
1.使用相关专杀工具或手工清除Stuxnet蠕虫
手工清除的步骤为： 使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有lsass.exe进程； 强行删除下列衍生文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
%Windir%infoem7A.PNF
%Windir%infmdmeric3.PNF
%Windir%infmdmcpq3.PNF
%Windir%infoem6C.PNF 删除下列注册表项：
HKEY_LOCAL_
HKEY_LOCAL_ 2. 安装被利用漏洞的系统补丁
安装微软提供的下列补丁文件： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 3. 安装软件补丁
安装西门子发布的WinCC系统安全更新补丁，地址见附录。
3.2 安全建议
此次攻击事件凸显了两个问题： 即便是物理隔离的专用局域网，也并非牢不可破； 专用的软件系统，包括工业控制系统，也有可能被攻击。 因此，我们对有关部门和企业提出下列安全建议：
加强主机（尤其是内网主机）的安全防范，即便是物理隔离的计算机也要及时更新操作系统补丁，建立完善的安全策略；
安装安全防护软件，包括反病毒软件和防火墙，并及时更新病毒数据库；
建立软件安全意识，对企业中的核心计算机，随时跟踪所用软件的安全问题，及时更新存在漏洞的软件；
进一步加强企业内网安全建设，尤其重视网络服务的安全性，关闭主机中不必要的网络服务端口；
所有软件和网络服务均不启用弱口令和默认口令；
加强对可移动存储设备的安全管理，关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，为移动设备建立病毒免疫，使用硬件式U盘病毒查杀工具。 相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。
4.1 专门攻击工业系统
Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中。
一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。
4.2 利用多个零日漏洞
Stuxnet蠕虫利用了微软操作系统的下列漏洞： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 后四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大规模的使用多种零日漏洞，并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。
另一方面，在安天捕获的样本中，有一部分实体的时间戳是2013年3月。这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首次披露出来。这期间要控制漏洞不泄露，有一定难度。
4.3 使用数字签名
Stuxnet在运行后，释放两个驱动文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
这两个驱动文件伪装RealTek的数字签名（图7）以躲避杀毒软件的查杀。目前，这一签名的数字证书已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。图11 Stuxnet伪造的数字签名
4.4 明确的攻击目标
根据赛门铁克公司的统计，7月份，伊朗感染Stuxnet蠕虫的主机只占25%，到9月下旬，这一比例达到60%。
WinCC被伊朗广泛使用于基础国防设施中。9月27日，伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解，该核电站原计划于2013年8月开始正式运行。因此，此次攻击具有明确的地域性和目的性。 5.1 工业系统安全将面临严峻挑战
在我国，WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。
对于Stuxnet蠕虫的出现，我们并未感到十分意外。早在去年，安天就接受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。
工业控制网络，包括工业以太网，以及现场总线控制系统早已在工业企业中应用多年，目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC，大多数同样基于Windows-Intel平台，工业以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针对现场总线的专门攻击，不可轻视。
针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标，但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控，导致反应器超温/超压，最终就会导致冲料、起火甚至爆炸等灾难性事故，还可能造成次生灾害和人道主义灾难。因此，这种袭击工业网络的恶意代码一般带有信息武器的性质，目标是对重要工业企业的正常生产进行干扰甚至严重破坏，其背景一般不是个人或者普通地下黑客组织。
目前，工业以太网和现场总线标准均为公开标准，熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此，对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的： 基于Windows-Intel平台的工控PC和工业以太网，可能遭到与攻击民用/商用PC和网络手段相同的攻击，例如通过U盘传播恶意代码和网络蠕虫，这次的Stuxnet病毒就是一个典型的例子。 DCS和现场总线控制系统中的组态软件（测控软件的核心），目前其产品，特别是行业产品被少数公司所垄断，例如电力行业常用的西门子SIMATIC WinCC，石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系，Stuxnet病毒的攻击目标正是WinCC系统。 基于RS-485总线以及光纤物理层的现场总线，例如PROFIBUS和MODBUS（串行链路协议），其安全性相对较好；但短程无线网络，特别是不使用Zigbee等通用短程无线协议（有一定的安全性），而使用自定义专用协议的短程无线通信测控仪表，安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表，其无线通信部分采用通用2.4GHz短程无线通信芯片，连基本的加密通信都没有使用，可以说毫无安全性可言，极易遭到窃听和攻击，如果使用，将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络，相对民用/商用网络而言，数据传输量相对较少，但对其实时性和可靠性的要求却很高，因而出现问题的后果相当严重。
传统工业网络的安全相对信息网络来说，一直是凭借内网隔离，而疏于防范。因此，针对工业系统的安全检查和防范加固迫在眉睫。

㈥ 震网病毒的概述

㈦ Stuxnet蠕虫病毒的病毒简介

Stuxnet又名“震网”，是针对微软件系统以及西门子工业系统的最新病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密
曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet目前已经侵入我国。瑞星昨日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。
据瑞星安全专家介绍，Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。
Stuxnet及其变种是一种利用最新的Windows Shell漏洞传播恶意文件的蠕虫。造成这个漏洞的原因是Windows 错误地分析快捷方式，当用户单击特制快捷方式的显示图标时可能执行恶意代码（文件带有.LNK扩展名）。

㈧ 什么时候美国曾利用震网病毒成功入侵伊朗布什尔核电站

2010年12月15日，一位德国计算机高级顾问表示，“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标，通过渗透进“视窗”（Windows）操作系统，并对其进行重新编程而造成破坏。2011年1月26日，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故 采纳

㈨ 近几年几个网络病毒事件有哪些

您好，近几年出现的网络病毒有以下几个。
1、磁盘机（2007年）
磁盘机病毒也称mmycom，它是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行；对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态；破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒；病毒会在每个分区下释放AUTORUN.INF来达到自运行，感染除SYSTEM32目录外其它目录下的所有可执行文件。磁盘机病毒造成的危害及损失10倍于同年的熊猫烧香。

2、机器狗（2007年）
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户计算机带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe，winhlp32.exe等）达到隐蔽启动；通过还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全。

3、Stuxnet（2009-2010年）
Stuxnet，震网是一种Windows平台上针对工业控制系统的计算机蠕虫，它是首个旨在破坏真实世界，而非虚拟世界的计算机病毒，利用西门子公司控制系统（SIMATIC WinCC/Step7）存在的漏洞感染数据采集与监控系统（SCADA），向可编程逻辑控制器（PLCs）写入代码并将代码隐藏。这是有史以来第一个包含PLC Rootkit的计算机蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。据报道，该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施，并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示，该蠕虫事实上并没有造成任何损害。

4、Conficker（2008-2009年）
Conficker，也被称作Downup，Downap或Kido，Conficker蠕虫最早于2008年11月20日被发现，针对微软Windows操作系统。迄今已出现了A、B、C、E四个版本，目前全球已有超过1500万台电脑受到感染。Conficker主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。

5、Online Games盗号木马
这是一类针对网络游戏账号的盗号木马，它们的特点就是通过进程注入盗取网络游戏的帐号从而通过买卖装备获得利益。一般情况下，这类病毒本身不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现。
推荐您使用腾讯电脑管家来保护您的电脑系统安全，腾讯电脑管家使用5大引擎，层层保护您的电脑，防止病毒侵入，并且拥有全面的病毒库，保证实时更新，还有着较高的病毒查杀率！
腾讯电脑管家下载地址：http://guanjia.qq.com/
希望我的回答能帮助到您！

腾讯电脑管家企业平台：http://..com/c/guanjia/

㈩ 伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击

伊朗核设施瘫痪事件是因为遭受了震网病毒病毒的攻击。
震网病毒又名Stuxnet病毒，是一个席卷全球工业界的病毒。
震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。互联网安全专家对此表示担心。
作为世界上首个网络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。