病毒性感染是什么原因造成的?,病毒性疱疹

stuxnet（stuxnet病毒）

Stuxnet(stuxnet病毒)这是历史上第一个包含PLC Rootkit的计算机蠕虫Stuxnet，也是第一个已知的针对关键工业基础设施的蠕虫stuxnet。它的名字叫Stuxnet。Stuxnet病毒最早发布于2010年6月，大小约为500KB。平台感染Windows 200-Windows 7的NT内核系统，病毒灾区为伊朗。目标是摧毁工业设备，减缓伊朗核计划
。地震网络STUXNET在2009年卷土重来。在伊朗的纳坦兹，有一个“铀浓缩工厂”，大约8700台铀浓缩离心机在那里工作。结果，伊朗在几个月内更换了1-2，000台离心机，外界无法知道离心机损坏如此迅速的原因
地震网损坏了离心机，但答案就藏在“这些机器周围”，埋在纳坦兹电脑的磁盘和内存中。几个月前，2009年6月，有人悄悄释放了一种复杂且极具破坏性的蠕虫病毒，它在伊朗的电脑中传播，目的只有一个——摧毁伊朗的铀浓缩计划，阻止伊朗发展核武器。但直到一年后，这种蠕虫才浮出水面，它被命名为“Stuxnet”。2010年6月17日，当谢尔盖·乌拉森在白俄罗斯的办公室里阅读电子邮件时，一篇报道引起了他的注意。一台属于伊朗客户的计算机陷入重启循环。尽管管理员努力控制它，计算机还是关闭并重新启动了几次。这台机器似乎感染了病毒。Urasan的研究团队已经掌握了感染这台电脑的病毒，并意识到该病毒正在通过利用“0day”漏洞进行传播。0day漏洞是黑客世界中最强大的武器:他们利用软件制造商或防病毒供应商不知道的软件漏洞。极其罕见:找到这些漏洞并加以利用需要相当的技巧和毅力。每年，在反病毒研究人员发现的数千万件恶意软件中，只有少数能够利用0DAY漏洞。
0DAY漏洞Stuxnet利用0DAY漏洞，让病毒通过被感染的移动存储设备，从一台电脑巧妙地传播到另一台电脑。该漏洞存在于Windows的LNK快捷方式中，该快捷方式是Microsoft Windows的基本组件。当被感染的移动存储设备插入计算机，Windows Explorer扫描设备内容时，漏洞代码被唤醒，并秘密向计算机传输部分加密的文件，就像军用运输机向目标区域投掷伪装的士兵一样。Ulasen联系微软报告了该漏洞，并在安全论坛的帖子中公开了这一发现。世界各地的反病毒公司争相解构该病毒，并以一些文件名(。stub和mxNet.sys)。在全球所有反病毒公司对“Stub”的分析下，证明该病毒早在2009年6月就开始在外界传播，其神秘的创建者随着时间的推移对其进行了更新和改进，并发布了三个值得注意的是，该病毒的其中一个驱动文件使用了从台湾省的硬件厂商RealTek Semiconductor(瑞宇)窃取的有效签名证书，来欺骗系统确定该恶意软件是来自RealTek的可信程序。
瑞宇半导体微软很快撤销了证书。然而，反病毒公司从地震网找到了第二个有效的数字签名证书。该证书来自台湾省的一家电路制造商Smart Microchip，其总部与睿宇位于同一个商业园区。这是巧合吗，震网？闯入公司偷证算不算攻击？还是黑客远程攻击了他们，拿到了数字证书签名密钥？没人知道stuxnet！不过在其他方面，Stuxnet在被感染的电脑上似乎很有规律。该病毒针对西门子WinCC Step7软件，是德国西门子集团制造的工业控制系统，用于编程控制器，应用于从食品厂、汽车装配线、天然气管道、水处理厂等各个领域的电机、阀门、开关等。
西门子工控系统不是传统黑客的目标，因为黑他们没有明显的经济利益。看起来它只是从系统中窃取配置和设计数据，看起来像一个工业间谍案件。但是...。Shocknet从来没有这么简单。Shocknet每感染一个系统，就会“呼叫”两个托管在马来西亚和丹麦的服务器——报告被感染机器的信息。包括机器的内部和外部IP地址、计算机名称、操作系统和版本，以及机器上是否安装了西门子Simatic WinCC Step7软件。并且可以指挥控制被感染的电脑，比如更新震网，增加功能，甚至在系统上安装更多的恶意文件。这两个域名的DNS提供商已经限制了传入流量，以防止它到达攻击者。赛门铁克联系了dns提供商并转交了解决方案。一周后，赛门铁克收到了来自几十个国家的大约40，000台计算机的感染信息。预计几天后人数将飙升至10万以上。
马来西亚的服务器把这些被感染电脑的地理位置绘制成分布图，出现了一个奇怪的现象。在最初的38，000例感染中，大约22，000例发生在伊朗。远远领先于印度尼西亚的6700例，其次是印度的3700例。美国不到400家。在这38，000个案例中，只有少数机器安装了西门子step7软件——其中217个在伊朗，16个在美国。这个数据很奇怪——伊朗从来没有在计算机病毒感染统计中排名如此之高，通常韩国和美国因为拥有最多的互联网用户而一直位居榜首。即使在以中东或中亚为中心的电脑疫情中，伊朗也从未排名如此靠前。显然，伊朗是“震网”感染的中心。各种因素的叠加，让“Stuxnet”看起来像是一种网络武器，甚至可能是美国的网络武器。
网络武器随着对病毒的进一步解构和监测，研究人员发现，除了LNK漏洞，Stuxnet还利用了其余三个0DAY漏洞。第二个是Windows打印服务漏洞，它在使用共享打印机的机器之间传播。第三和第四个漏洞攻击Windows键盘文件和计划任务事件中的漏洞，从而提升攻击者对计算机的权限并完全控制它。此外，Stuxnet还利用了西门子在其Step7软件中硬编码的静态密码。让它访问并感染托管数据库的服务器，并从那里感染连接到该服务器的其他计算机。还发现，每次传播时，被地震台网感染的每个系统的IP和时间戳都会被记录在自身中。这使得追溯到最初被感染的计算机成为可能。经过分析，攻击者将他们的攻击集中在五个伊朗组织的计算机上，这些计算机在2009年6月和7月以及2010年3月、4月和5月再次受到不同感染的反复打击。这包括纳坦兹核浓缩厂的铀离心机
STUXNET震网病毒，使被感染的伊朗IR-1离心机从正常运行速度1064HZ增加到1410HZ，持续15分钟，然后恢复正常频率。27天后，地震网再次行动，将被感染的离心机运行速度减慢到几百赫兹，持续50分钟。过度和缓慢的压力会导致铝离心管膨胀，迫使一些离心机相互接触，并对机器造成损坏。这些损害可能会使伊朗的核计划推迟两年。谁创造了如此复杂的“震网病毒”？各大安全厂商认为，如此复杂危险的恶意程序，不是个人或者非政府组织能开发出来的，但有可能是某个国家支持的。直到今天，地震网的始作俑者仍未浮出水面，但国与国之间的网络战才刚刚开始。