震網病毒

震網（Stuxnet），指一種蠕蟲病毒。它的複雜程度遠超一般電腦黑客的能力。這種震網（Stuxnet）病毒於2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。互聯網安全專家對此表示擔心。

“震網”病毒利用了微軟視窗操作系統之前未被發現的4個漏洞。通常意義上的犯罪性黑客會利用這些漏洞盜取銀行和信用卡信息來獲取非法收入。而“震網”病毒不像一些惡意軟件那樣可以賺錢，它需要花錢研製。這是專家們相信“震網”病毒出自情報部門的一個原因。

據全球最大網絡保安公司賽門鐵克（Symantec）和微軟（Microsoft）公司的研究，近60%的感染髮生在伊朗，其次為印尼（約20%）和印度（約10%）， 阿塞拜疆、美國與巴基斯坦等地亦有小量個案。

由於“震網”感染的重災區集中在伊朗境內。美國和以色列因此被懷疑是“震網”的發明人。

這種新病毒採取了多種先進技術，因此具有極強的隱身和破壞力。只要電腦操作員將被病毒感染的U盤插入USB接口，這種病毒就會在神不知鬼不覺的情況下(不會有任何其他操作要求或者提示出現)取得一些工業用電腦系統的控制權。

2010年6月，“震網”病毒首次被發現，它被稱為有史以來最複雜的網絡武器，因為它悄然襲擊伊朗核設施的手法極其陰險。 ^[1] 

2010年9月，瑞星公司監測到這個席捲全球工業界的病毒已經入侵中國。瑞星反病毒專家警告説，我國許多大型重要企業在安全制度上存在缺失，可能促進Stuxnet病毒在企業中的大規模傳播。 ^[2] 

2010年12月15日，一位德國計算機高級顧問表示，“震網”計算機病毒令德黑蘭的核計劃拖後了兩年。這個惡意軟件2010年一再以伊朗核設施為目標，通過滲透進“視窗”（Windows）操作系統，並對其進行重新編程而造成破壞。

2011年1月26日，俄羅斯常駐北約代表羅戈津表示，這種病毒可能給伊朗布什爾核電站造成嚴重影響，導致有毒的放射性物質泄漏，其危害將不亞於1986年發生的切爾諾貝利核電站事故。 ^[3] 

2012年6月1日的美國《紐約時報》報道，揭露“震網”病毒起源於2006年前後由美國前總統小布什啓動的“奧運會計劃”。2008年，奧巴馬上任後下令加速該計劃。 ^[4] 

2013年3月，中國解放軍報報道，美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，已經造成伊朗核電站推遲發電，目前國內已有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。 這種病毒可能是新時期電子戰爭中的一種武器。震網病毒，截止2011年，感染了全球超過45000個網絡，60%的個人電腦感染了這種病毒。

與傳統的電腦病毒相比，“震網”病毒不會通過竊取個人隱私信息牟利。

由於它的打擊對象是全球各地的重要目標，因此被一些專家定性為全球首個投入實戰舞台的“網絡武器”。

無需藉助網絡連接進行傳播。這種病毒可以破壞世界各國的化工、發電和電力傳輸企業所使用的核心生產控制電腦軟件，並且代替其對工廠其他電腦“發號施令”。

極具毒性和破壞力。“震網”代碼非常精密，主要有兩個功能，一是使伊朗的離心機運行失控，二是掩蓋發生故障的情況，“謊報軍情”，以“正常運轉”記錄回傳給管理部門，造成決策的誤判。在2011年2月的攻擊中，伊朗納坦茲鈾濃縮基地至少有1/5的離心機因感染該病毒而被迫關閉。

“震網”定向明確，具有精確制導的“網絡導彈”能力。它是專門針對工業控制系統編寫的惡意病毒，能夠利用Windows系統和西門子SIMATICWinCC系統的多個漏洞進行攻擊，不再以刺探情報為己任，而是能根據指令，定向破壞伊朗離心機等要害目標。

“震網”採取了多種先進技術，具有極強的隱身性。它打擊的對象是西門子公司的SIMATICWinCC監控與數據採集 （SCADA）系統。儘管這些系統都是獨立與網絡而自成體系運行，也即“離線”操作的，但只要操作員將被病毒感染的U盤插入該系統USB接口，這種病毒就會在神不知鬼不覺的情況下 （不會有任何其他操作要求或者提示出現）取得該系統的控制權。

“震網”病毒結構非常複雜，計算機安全專家在對軟件進行反編譯後發現，它不可能是黑客所為，應該是一個“受國家資助的高級團隊研發的結晶”。美國《紐約時報》稱，美國和以色列情報機構合作製造出“震網”病毒。 ^[3] 

2010年10月，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據採集與監控系統SIMATIC WinCC進行攻擊的事件，稱其為“超級病毒”、“超級工廠病毒”，並形容成“超級武器”、“潘多拉的魔盒”。

Stuxnet蠕蟲（俗稱“震網”、“雙子”）在2010年7月開始爆發。它利用了微軟操作系統中至少4個漏洞，其中有3個全新的零日漏洞；偽造驅動程序的數字簽名；通過一套完整的入侵和傳播流程，突破工業專用局域網的物理限制；利用WinCC系統的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計，截止到2010年09月全球已有約45000個網絡被該蠕蟲感染， ^[5]  其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。

安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，發佈了分析報告及防範措施，並對其持續跟蹤。截止至本報告發布，安天已經累計捕獲13個變種、600多個不同哈希值的樣本實體。

2.1 運行環境

Stuxnet蠕蟲在以下操作系統中可以激活運行：

當它發現自己運行在非Windows NT系列操作系統中，即刻退出。

被攻擊的軟件系統包括：

但不排除其他版本存在這一問題的可能。

樣本被激活後，典型的運行流程如圖1所示。

樣本首先判斷當前操作系統類型，如果是Windows 9X/ME，就直接退出。

接下來加載一個主要的DLL模塊，後續的行為都將在這個DLL中進行。為了躲避查殺，樣本並不將DLL模塊釋放為磁盤文件然後加載，而是直接拷貝到內存中，然後模擬DLL的加載過程。

具體而言，樣本先申請足夠的內存空間，然後hookntdll.dll導出的6個系統函數：

為此，樣本先修改ntdll.dll文件內存映像中PE頭的保護屬性，然後將偏移0x40處的無用數據改寫為跳轉代碼，用以實現hook。

進而，樣本就可以使用ZwCreateSection在內存空間中創建一個新的PE節，並將要加載的DLL模塊拷貝到其中，最後使用LoadLibraryW來獲取模塊句柄。

此後，樣本跳轉到被加載的DLL中執行，衍生下列文件：

%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 　其中有兩個驅動程序mrxcls.sys和mrxnet.sys，分別被註冊成名為MRXCLS和MRXNET的系統服務，實現開機自啓動。這兩個驅動程序都使用了Rootkit技術，並有數字簽名。

mrxcls.sys負責查找主機中安裝的WinCC系統，並進行攻擊。具體地説，它監控系統進程的鏡像加載操作，將存儲在%Windir%\inf\oem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中，後兩者是WinCC系統運行時的進程。

mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件（圖2）。

圖2驅動程序隱藏某些lnk文件

圖3 樣本的多種傳播方式

2.3 傳播方式　Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟件。後者主要用於工業控制系統的數據採集與監控，一般部署在專用的內部局域網中，並與外部互聯網實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲採取多種手段進行滲透和傳播，如圖3所示。

整體的傳播思路是：首先感染外部主機；然後感染U盤，利用快捷方式文件解析漏洞，傳播到內部網絡；在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、打印機後台程序服務漏洞，實現聯網主機之間的傳播；最後抵達安裝了WinCC軟件的主機，展開攻擊。

2.3.1. 快捷方式文件解析漏洞（MS10-046）

這個漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時的系統機制缺陷，使系統加載攻擊者指定的DLL文件，從而觸發攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據文件中的信息尋找它所需的圖標資源，並將其作為文件的圖標展現給用户。如果圖標資源在一個DLL文件中，系統就會加載這個DLL文件。攻擊者可以構造這樣一個快捷方式文件，使系統加載指定的DLL文件，從而執行其中的惡意代碼。快捷方式文件的顯示是系統自動執行，無需用户交互，因此漏洞的利用效果很好。

Stuxnet蠕蟲搜索計算機中的可移動存儲設備（圖4）。一旦發現，就將快捷方式文件和DLL文件拷貝到其中（圖5）。如果用户將這個設備再插入到內部網絡中的計算機上使用，就會觸發漏洞，從而實現所謂的“擺渡”攻擊，即利用移動存儲設備對物理隔離網絡的滲入。

圖4 查找U盤

拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列導出函數：

FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現對U盤中lnk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施（內核態驅動程序、用户態Hook API）來實現對U盤文件的隱藏，使攻擊過程很難被用户發覺，也能一定程度上躲避殺毒軟件的掃描。

圖5 拷貝文件到U盤

2.3.2. RPC遠程執行漏洞（MS08-067）與提升權限漏洞

這是2008年爆發的最嚴重的一個微軟操作系統漏洞，具有利用簡單、波及範圍廣、危害程度高等特點。

圖6 發動RPC攻擊

具體而言，存在此漏洞的系統收到精心構造的RPC請求時，可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中，利用這一漏洞，攻擊者可以通過惡意構造的網絡包直接發起攻擊，無需通過認證地運行任意代碼，並且獲取完整的權限。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。

Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播（圖6）。利用這一漏洞時，如果權限不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身權限（圖1），然後再次嘗試攻擊。截止本報告發布，微軟尚未給出該提權漏洞的解決方案。

2.3.3. 打印機後台程序服務漏洞（MS10-061）

這是一個零日漏洞，首先發現於Stuxnet蠕蟲中。

Windows打印後台程序沒有合理地設置用户權限。攻擊者可以通過提交精心構造的打印請求，將文件發送到暴露了打印後台程序接口的主機的%System32%目錄中。成功利用這個漏洞可以以系統權限執行任意代碼，從而實現傳播和攻擊。

圖7 利用打印服務漏洞

Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播。如圖7所示，它向目標主機發送兩個文件：winsta.exe、sysnullevnt.mof。後者是微軟的一種託管對象格式（MOF）文件，在一些特定事件驅動下，它將驅使winsta.exe被執行。

2.3.4.內核模式驅動程序（MS10-073）

2.3.5.任務計劃程序漏洞（MS10-092）

Stuxnet蠕蟲查詢兩個註冊表鍵來判斷主機中是否安裝WinCC系統（圖8）：

HKLM\SOFTWARE\SIEMENS\WinCC\Setup

HKLM\SOFTWARE\SIEMENS\STEP7

圖8 查詢註冊表，判斷是否安裝WinCC

一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：

一是WinCC系統中存在一個硬編碼漏洞，保存了訪問數據庫的默認賬户名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統的SQL數據庫（圖9）。

二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL加載策略上的缺陷，從而導致一種類似於“DLL預加載攻擊”的利用方式。最終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實現對一些查詢、讀取函數的Hook。

圖9 查詢WinCC的數據庫

本節綜合介紹樣本在上述複製、傳播、攻擊過程中，各文件的衍生關係。

如圖10所示。樣本的來源有多種可能。

對原始樣本、通過RPC漏洞或打印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節中隱形加載模塊，名為“kernel32.dll.aslr.<隨機數字>.dll”。

對U盤傳播的樣本，當系統顯示快捷方式文件時觸發漏洞，加載~wtr4141.tmp文件，後者加載一個名為“shell32.dll.aslr.<隨機數字>.dll”的模塊，這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數字>.dll”。

圖10 樣本文件衍生的關係

模塊“kernel32.dll.aslr.<隨機數字>.dll”將啓動後續的大部分操作，它導出了22個函數來完成惡意代碼的主要功能；在其資源節中，包含了一些要衍生的文件，它們以加密的形式被保存。

其中，第16號導出函數用於衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。

第17號導出函數用於攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統中的同名文件修改為s7otbxsx.dll，並對這個文件的導出函數進行一次封裝，從而實現Hook。

第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。

第22號導出函數負責利用RPC漏洞和打印服務漏洞進行傳播。它釋放的文件中，資源編號221的文件用於RPC攻擊、編號222的文件用於打印服務攻擊、編號250的文件用於提權。

西門子公司對此次攻擊事件給出了一個解決方案，鏈接地址見附錄。下面根據我們的分析結果，給出更具體的措施。

1.使用相關專殺工具或手工清除Stuxnet蠕蟲

手工清除的步驟為：

2. 安裝被利用漏洞的系統補丁

安裝微軟提供的下列補丁文件：

3. 安裝軟件補丁

安裝西門子發佈的WinCC系統安全更新補丁，地址見附錄。

3.2 安全建議

此次攻擊事件凸顯了兩個問題：

因此，我們對有關部門和企業提出下列安全建議：

加強主機（尤其是內網主機）的安全防範，即便是物理隔離的計算機也要及時更新操作系統補丁，建立完善的安全策略；

安裝安全防護軟件，包括反病毒軟件和防火牆，並及時更新病毒數據庫；

建立軟件安全意識，對企業中的核心計算機，隨時跟蹤所用軟件的安全問題，及時更新存在漏洞的軟件；

進一步加強企業內網安全建設，尤其重視網絡服務的安全性，關閉主機中不必要的網絡服務端口；

所有軟件和網絡服務均不啓用弱口令和默認口令；

加強對可移動存儲設備的安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬件式U盤病毒查殺工具。

相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得我們特別關注。

Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據採集與監視控制（SCADA）系統，被廣泛用於鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程；它運行於Windows平台，常被部署在與外界隔離的專用局域網中。

一般情況下，蠕蟲的攻擊價值在於其傳播範圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟件。無論是要滲透到內部網絡，還是挖掘大型專用軟件的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。

Stuxnet蠕蟲利用了微軟操作系統的下列漏洞：

後四個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，並不多見。

這些漏洞並非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基於自動播放功的U盤病毒被絕大部分殺毒軟件防禦的現狀下，就使用快捷方式漏洞實現U盤傳播。

另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是2010年3月。這意味着至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。

Stuxnet在運行後，釋放兩個驅動文件：

%System32%\drivers\mrxcls.sys

%System32%\drivers\mrxnet.sys

這兩個驅動文件偽裝RealTek的數字簽名（圖7）以躲避殺毒軟件的查殺。目前，這一簽名的數字證書已經被頒發機構吊銷，無法再通過在線驗證，但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名，因此有可能被欺騙。圖11 Stuxnet偽造的數字簽名

根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只佔25%，到9月下旬，這一比例達到60%。

WinCC被伊朗廣泛使用於基礎國防設施中。9月27日，伊朗國家通訊社向外界證實該國的第一座核電站“布什爾核電站”已經遭到攻擊。據瞭解，該核電站原計劃於2010年8月開始正式運行。因此，此次攻擊具有明確的地域性和目的性。

5.1 工業系統安全將面臨嚴峻挑戰

在我國，WinCC已被廣泛應用於很多重要行業，一旦受到攻擊，可能造成相關企業的設施運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。

對於Stuxnet蠕蟲的出現，我們並未感到十分意外。早在去年，安天就接受用户委託，對化工行業儀表的安全性展開過研究，情況不容樂觀。

工業控制網絡，包括工業以太網，以及現場總線控制系統早已在工業企業中應用多年，目前在電力、鋼鐵、化工等大型重化工業企業中，工業以太網、DCS（集散控制系統）、現場總線等技術早已滲透到控制系統的方方面面。工業控制網絡的核心現在都是工控PC，大多數同樣基於Windows-Intel平台，工業以太網與民用以太網在技術上並無本質差異，現場總線技術更是將單片機/嵌入式系統應用到了每一個控制儀表上。工業控制網絡除了可能遭到與攻擊民用/商用網絡手段相同的攻擊，例如通過局域網傳播的惡意代碼之外，還可能遭到針對現場總線的專門攻擊，不可輕視。

針對民用/商用計算機和網絡的攻擊，目前多以獲取經濟利益為主要目標，但針對工業控制網絡和現場總線的攻擊，可能破壞企業重要裝置和設備的正常測控，由此引起的後果可能是災難性的。以化工行業為例，針對工業控制網絡的攻擊可能破壞反應器的正常温度/壓力測控，導致反應器超温/超壓，最終就會導致衝料、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。因此，這種襲擊工業網絡的惡意代碼一般帶有信息武器的性質，目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞，其背景一般不是個人或者普通地下黑客組織。

目前，工業以太網和現場總線標準均為公開標準，熟悉工控系統的程序員開發針對性的惡意攻擊代碼並不存在很高的技術門檻。因此，對下列可能的工業網絡安全薄弱點進行增強和防護是十分必要的：

工業控制網絡通常是獨立網絡，相對民用/商用網絡而言，數據傳輸量相對較少，但對其實時性和可靠性的要求卻很高，因而出現問題的後果相當嚴重。

傳統工業網絡的安全相對信息網絡來説，一直是憑藉內網隔離，而疏於防範。因此，針對工業系統的安全檢查和防範加固迫在眉睫。

在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下，此次Stuxnet蠕蟲攻擊事件尤為值得我們進一步思考。

這是一次極為不同尋常的攻擊，其具體體現是：

從時間、技術、手段、目的、攻擊行為等多方面來看，完全可以認為發起此次攻擊的不是一般的攻擊者或組織。

因此，這次攻擊中所採用的多個新漏洞和傳播手段，將在接下來很長一段時間內給新的攻擊提供最直接的動力。而更大的影響是，事件中顯露出來的攻擊思路和攻擊視野會帶來長久的示範效應。它給攻擊者、安全研究人員、企業管理者帶來的更多是一種安全觀念和安全意識上的衝擊。一些傳統的認識已經略顯陳舊，誰能在這一次觀念和意識賽跑中認識得更清、看得更遠，誰就能在未來一段時間內保持優勢。

至少有以下兩種新的攻擊趨勢值得特別關注：

基於上述認識，建議有關部門和企業以此次攻擊事件為鑑，進一步加強信息網絡和計算機設備的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意識，與安全廠商一同構建堅實的防線，抵禦安全威脅。

專家稱其高端性顯示攻擊應為國家行為

一些專家認為，Stuxnet病毒是專門設計來攻擊伊朗重要工業設施的，包括上個月竣工的布什爾核電站。它在入侵一台個人電腦後，會尋找廣泛用於控制工業系統如工廠、發電站自動運行的一種西門子軟件。它通過對軟件重新編程實施攻擊，給機器編一個新程序，或輸入潛伏極大風險的指令。專家指出，病毒能控制關鍵過程並開啓一連串執行程序，最終導致整個系統自我毀滅。

2008年，“震網”病毒攻擊就開始奏效，伊朗核計劃被顯著拖延。根據電腦安全公司賽門鐵克公司的一份詳細報告，到2010年9月29日為止，“震網”病毒在世界範圍內感染了10萬台主機，其中有6萬台位於伊朗，之後伊朗採取了行動，從而無法評估後來的數據。 ^[6]  伊朗半官方的通訊社報道稱，這種代號為“震網”的“電腦蠕蟲”病毒很可能是伊朗的敵人專門為破壞布什爾核電站而“量身定做”的。（2010年9月30日《中國青年報》）

根據科學和國際安全研究所的統計，位於納坦茲的大約8000台離心機裏有1000台已在2009年底和2010年初被換掉。國際原子能機構説，伊朗在2010年11月中旬暫停了納坦茲的鈾濃縮活動，因為離心機發生技術故障。

2013年3月，中國解放軍報再次披露，美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備。 ^[7] 

卡巴斯基的高級安防研究員戴維·愛姆説，Stuxnet與其它病毒的不同之處，就在於它瞄準的是現實世界。他們公司已經和微軟聯手，查找程序中的編碼漏洞，防止新病毒找到它。

愛姆説，通常的大部分病毒像個大口徑短槍到處開火，而Stuxnet像個狙擊手，只瞄準特定的系統。一旦它們發現了編碼缺陷，就好比找到了房子上的天窗，然後用一把羊頭鎬撬開一個更大的洞。Stuxnet被設計出來，純粹就是為了搞破壞。

德國網絡安全研究員拉爾夫·朗納（Ralph Langner）已經破解了Stuxnet的編碼，並將之公佈於眾。他堅信Stuxnet被設計出來，就是為了尋找基礎設施並破壞其關鍵部分。他説，這是一種百分之百直接面向現實世界中工業程序的網絡攻擊。它絕非所謂的間諜病毒，而是純粹的破壞病毒。

朗納説，Stuxnet病毒的高端性，意味着只有一個“國家”才能把它開發出來。根據我們所掌握的計算機法醫方面證據，它的意圖很明顯，就是執行破壞性攻擊，毀掉大量的內部信息。這並非某個坐在父母家裏的地下室裏的駭客能幹得出來的，這種攻擊的來源指向的是一個國家。Stuxnet很可能已經攻擊了它的目標，只不過我們還沒有接到消息而已。

近日，某國內知名安全公司監測到一個席捲全球工業界的病毒已經入侵我國，這種名為Stuxnet的蠕蟲病毒已經造成伊朗核電站推遲發電，目前國內已有近 500萬網民、及多個行業的領軍企業遭此病毒攻擊。某國內知名安全軟件公司反病毒專家警告説，我們許多大型重要企業在安全制度上存在缺失，可能促進Stuxnet病毒在企業中的大規模傳播。

某國內知名安全軟件公司專家表示，這是世界上首個專門針對工業控制系統編寫的破壞性病毒，它同時利用包括MS10-046、MS10-061、MS08-067等 7個最新漏洞進行攻擊。這7個漏洞中，有5個是針對windows系統，2個是針對西門子SIMATIC WinCC系統。另外在關於微軟的5個漏洞中，目前有兩個本地提權漏洞仍未修復。

病毒肆虐將影響我國眾多企業

該病毒通過偽裝RealTek 與JMicron兩大公司的數字簽名，從而順利繞過安全產品的檢測。從編寫手法上看，該病毒還有很大的改進餘地，將來很可能出現同樣原理的複雜病毒。

據某國內知名安全軟件公司技術部門分析，Stuxnet病毒專門針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊，由於該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控，一旦攻擊成功，則可能造成使用這些企業運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。

該病毒主要通過U盤和局域網進行傳播，由於安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理，導致有人在局域網內使用了帶毒U盤，則整個網絡都會被感染。

Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”。截至目前，Stuxnet病毒已經感染了全球超過 45000個網絡，伊朗、印尼、美國、台灣等多地均不能倖免，其中，以伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。

據悉，早在今年7月，某國內知名安全軟件公司就監測到了Stuxnet的出現，一直進行跟蹤並積極研發出瞭解決方案，某國內知名安全軟件公司安全專家提醒廣大政府及企業級用户：一定要嚴格限制U盤在密級網絡中的應用，如果必須使用的，則應該建立使用登記和責任追究制度。另外，某國內知名安全軟件公司殺毒軟件網絡版也針對此病毒，提供了完善的U盤病毒預防、網絡內安全管理、惡性病毒掃描.

作為安全廠商，安天呼籲各兄弟廠商一起共建良好的行業環境，不斷促進安全技術的良性發展。同時，安天也期盼公眾和用户能夠對信息安全給予更多的關注。安天堅信保障公眾和社會的安全是一家安全廠商義不容辭的使命，但在現階段僅靠廠商的力量尚不足以解決目前的所有問題。只有各方齊心協力，才能迎來一個更加美好的世界。