震网病毒的秘密

《骇客交锋》背后看不见的交锋：解密中美伊以新型国家网战2014年11月，以索尼影像公司遭到黑客攻击为导火索，美国、朝鲜两国在网络上交相攻伐（详见钛媒体文章：《“黑客攻击”也能当借口，奥巴马签署行政命令追加对朝鲜制裁》），引发某些媒体惊呼道：“下一场战争，将是网络战争？”钛媒体科技作者“灯下黑客”告诉我们，不仅仅是下一场战争，实际上，上一场战争已经是网络战争，国家间的网络战早已拉开帷幕网络战争时代开始于2006年，主角正是震网病毒。

它在什么背景下被研发出来的？执行了怎样的命令？达到了怎样的效果？对今天的我们有怎样的启示？有意思的是，作为第一件经过实战检验的病毒武器，震网病毒正式开启了网络战争时代的大门。

而因为网战的隐蔽性，大众往往都是看不见的，唯一产生的看得见的成果，却是艺术界受此影响和传导作用产生的一系列艺术作品，例如2015年1月16日，北美开始上映一部新片：《骇客交锋》（Blackhat）。

钛媒体作者灯下黑客将这场大战的背后故事一一解答：2014年11月，索尼影像公司遭到黑客攻击，电脑网络全部瘫痪，职工一度只能靠纸笔办公，仿佛回到三十年前。

黑客泄露了大批公司机密，并且要求取消上映《刺杀金正恩》(TheInterview)一片，否则将发动更多袭击。

此举被美国政府定性为恐怖威胁，认为它意在破坏美国的言论自由。

根据网络攻击的痕迹，美国还揭露出此番攻击的幕后主使，正是金正恩领导下的朝鲜政府。

12月底，朝鲜也受到网络攻击，全国范围内的网络也都无法使用，怀疑是遭到了美国的报复。

美朝两国在网络上交相攻伐，引发某些媒体惊呼道：“下一场战争，将是网络战争？“答案是明显的：不仅仅是下一场战争，实际上，上一场战争已经是网络战争。

震网病毒是什么？2006至2010年，著名的震网病毒曾经入侵伊朗核工厂长达五年之久，严重破坏了伊朗核计划。

那次入侵的战场只在网络之间，武器也只是软件程序，但它却完全符合最严格的战争定义：它发生于国家之间，它针对军事设施和人员，它企图达到某种政治目。

黑客越来越黑震网病毒袭击伊朗核电站荀子在《劝学》中道：青，取之于蓝，而青于蓝;冰，水为之，而寒于水。

黑客最早源自英文hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙，对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

随着互联网不断扩张与升级，黑客魔爪已经从互联网延伸至汽车(相关阅读：红色警报!黑客入侵会导致汽车刹车失灵)、电网甚至成为国家之间战争的机器。

在这个网民安全意识不够成熟、安全防护措施还不完善的黑产业无比红火的年代，在金钱与利益的驱动下，黑客越来越黑，病毒越来越毒。

病毒与黑客成未来战争中的枪炮与士兵网络成为未来战争的兵家必争平台之一，在对未来战争规模的判断上，美国和俄罗斯的军事专家都认为爆发全面核战争的可能性几乎为零，未来战争将是综合性高技术的“非接触战争”，单靠某一种技术、某一种武器装备、某一种领域的优势，将很难左右武装冲突的结局。

网络战和电子战固然将在未来战争中占据重要地位，但只有二者的结合即信息化战争，才是未来的主要战争形式。

病毒与黑客成未来战争中的枪炮与士兵“军人是战争的主人，战争是为军人创造的”，这句话在未来战争中将不再适用。

一些掌握尖端技术的“不穿军装的人”将在未来战场以外的地方决定着战争结局。

这也许是新世纪新战争的最大特点。

美国国防部现在已经开始网罗计算机“黑客”，准备在未来战争中将其用于瘫痪敌方计算机和通信指挥系统。

近日，计算机安全专家发现了一种威力巨大的“网络蠕虫病毒”。

在对这种名为“震网”的病毒进行了深入分析后，越来越多的人相信，这可能是全球第一种投入实战的网络武器，它的打击对象或许就是饱受西方谴责的伊朗布舍尔核电站。

伊朗半官方的通讯社报道，该国核能机构正采取一切必要措施来清除入侵电脑系统的“蠕虫病毒”。

外界普遍认为，该病毒可能系伊朗的敌人专门为破坏布舍尔核电站而“量身定做”的。

张小只智能机械工业网
张小只机械知识库肆虐伊朗工业控制系统的三个超级病毒
超级病毒又来了！近日，伊朗南部的一位国防官员表示，该地区的一家大型发电厂以及多家工业厂家再次遭到了超级病毒Stuxnet的袭击。

此前媒体已经多次报道伊朗遭受网络攻击。

伊朗是三个超级病毒震网（Stuxnet）、毒区（Duqu）和火焰（Flame）攻击的重灾区。

众所周知，超级病毒结构十分复杂，非一般人和组织能制作出来；另外，超级病毒的攻击目标非常明确，如伊朗的核电站核心设施，这样的攻击不像是一般黑客所为。

或许我们可以大胆预测，地区之间的网络战争已经打响。

超级病毒究竟有多厉害？真的能担当网络战争的重任吗？下面我们来简要了解一下上述三个超级病毒。

震网（Stuxnet）病毒，是一种蠕虫程序，于2010年被发现，是世界上首个网络超级武器。

震网病毒专门针对德国西门子公司的工业控制系统，如此明确的攻击目标使其获得世界首枚数字弹头的称号。

震网曾经感染了全球超过45000个网络，伊朗遭到的攻击最为严重。

伊朗基础设施大量使用西门子公司的工业控制系统，由此招致60%的个人电脑遭受攻击：大约3万个互联网终端和布什尔核电站员工个人电脑遭感染，并且震网试图破坏伊朗进行铀浓缩的离心机。

由此看来，可以造成工业破坏的震网可以算作合格的战争武器了。

毒区（Duqu）是出现于2011年继震网蠕虫后最为恶性的一种可窃取信息的蠕虫，而且与震网一样，毒区大多数出现在工控系统中。

然而与震网不同，毒区的目的是收集与攻击目标有关的各种情报。

它收集密。

出版物刊名： 汕头大学学报：人文社会科学版
页码： 156-156页
年卷期： 2016年 第6期
主题词： First;病毒;the;to;of;《纽约时报》;《连线》杂志;国际关系;
摘要：无论在网络战发展史上，还是国际关系层面，美国联手以色列对伊朗核设施实施攻击的震网事件，都是里程碑式的。

震网病毒作为全球范围内第一个已知的，以政府为背景的网络武器，利用巧妙、精心设计的机制，对伊朗核设施成功进行攻击。

这个事件通过《纽约时报》2012年6月首次披露，迄今各种传说和演绎，充斥着阴谋论和想象力。

KimZetter著作《零日漏洞》让我们重温震网事件，是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物。

全书共分为序幕和19个章节，基于广泛采访事件相关人物，多方收集一手信息，包含了大量之前从未被披露过的有关震网的信息。

作为一名独立记者，KimZetter曾经为《连线》杂志写过100多篇文章，本书基于卡巴斯基实验室全球研究与分析团队成员的采访，精心梳理而成的一本非小说类著作。

2016年，中国读者可以先欣赏基于本书完成的纪录片《零日攻击》。

震网病毒——设计思路的深度分析震网病毒，英文名称是Stuxnet，第一个针对工业控制系统的蠕虫病毒，第一个被发现的网络攻击武器。

2010年6月首次被白俄罗斯安全公司VirusBlokAda发现，其名称是从代码中的关键字得来，这是第一次发现震网病毒，实际上这还是震网病毒的第二个版本。

2007年有人在计算机信息安全网站VirusTotal上提交了一段代码，后来被证实是震网病毒的第一个版本，至少是我们已知的第一个。

对于第一个震网病毒变种，后来大家基于震网病毒的第二个版本的了解基础上，才意识到这是震网病毒。

震网病毒的攻击目标是伊朗核设施。

据全球最大网络安全公司赛门铁克（Symantec）和微软（Microsoft）公司的研究，近60%的感染发生在伊朗，其次为印尼（约20%）和印度（约10%），阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

2011年1月，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故。

我们这次分析的案例是纳坦兹核设施。

纳坦兹核基地对于伊朗的核计划非常重要，它是伊朗能否顺利完成利用核能发电的关键。

纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀（UF6），灌入安装在这里的离心机，提炼浓缩铀，为布什尔核电站发电提供核燃料。

进一步分析它是如何攻击纳坦兹核设施并隐藏自己的？它是如何渗透纳坦兹核设施内部网络的？它是如何违背开发者的期望并扩散到纳坦兹之外的？IR-1离心机是伊朗铀浓缩的根基。

它可以追溯到从20世纪60年代末由欧洲设计，70年代初被窃取。

全金属设计的IR-1是可以稳定的运行的，前提是其零件的制造具有一定精度，但是伊朗人其零件加工工艺不达标。

因此他们不得不降级离心机的运行压力。

但是较小的工作压力意味着较少的产出，因而效率较低。

虽然低效，但对于伊朗来说有一个显而易见的优点，伊朗可以大规模的制造生产。

震网病毒的背景世界上每天都有新病毒产生，大部分都是青少年的恶作剧，少部分则是犯罪分子用来盗取个人信息的工具，震网病毒也许只是其中之一，它的背景是什么样的呢!下面由店铺给你做出详细的震网病毒背景介绍!希望对你有帮助!震网病毒背景介绍：首先，它利用了4个Windows零日漏洞。

零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。

零日漏洞可以大大提高电脑入侵的成功率，具有巨大的经济价值，在黑市上，一个零日漏洞通常可以卖到几十万美元。

即使是犯罪集团的职业黑客，也不会奢侈到在一个病毒中同时用上4个零日漏洞。

仅此一点，就可以看出该病毒的开发者不是一般黑客，它具备强大的经济实力。

并且，开发者对于攻击目标怀有志在必得的决心，因此才会同时用上多个零日漏洞，确保一击得手。

其次，它具备超强的USB传播能力。

传统病毒主要是通过网络传播，而震网病毒大大增强了通过USB接口传播的能力，它会自动感染任何接入的U盘。

在病毒开发者眼中，似乎病毒的传播环境不是真正的互联网，而是一个网络连接受到限制的地方，因此需要靠USB口来扩充传播途径。

最奇怪的是，病毒中居然还含有两个针对西门子工控软件漏洞的攻击，这在当时的病毒中是绝无仅有的。

从互联网的角度来看，工业控制是一种恐龙式的技术，古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革，这些都让工控系统看上去跟互联网截然不同。

此前从没人想过，在互联网上泛滥的病毒，也可以应用到工业系统中去。

5深度分析编辑第一章事件背景2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫(俗称“震网”、“双子”)在2003年7月开始爆发。

它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞，对其开展破坏性攻击。

深度：震网病毒的秘密引子：看到litdg翻译的《震网的秘密兄弟（一）》，感觉有些地方跟我想象的不一样，所以在litdg兄的基础上就行了更新，我是搞工业自动化的，恰巧阴差阳错的跟信息安全有了些交集，所以以ICS（工业控制系统）的视角，来阐述我对原文的理解。

真正用来破坏伊朗核设施的震网病毒，其复杂程度超出了所有人的预料。

作为第一个被发现的网络攻击武器，震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。

围绕震网病毒的分析主要有：（1）它是如何攻击位于Natanz的伊朗核设施的？（2）它是如何隐藏自己的？（3）它是如何违背开发者的期望并扩散到Natanz之外的？但是这些分析的主要内容要么是错误的要么是不完整的。

因为，震网病毒并不是一个而是一对。

大家的注意力全都关注着震网病毒的“简单功能”，即该功能用来改变铀浓缩的离心机转速，而另外一个被忽视的功能是却是更加的复杂和隐秘的。

这一“复杂功能”对于了解ICS （IndustrialControl System的简称）信息安全的人来说简直是梦魇，奇怪的是“复杂功能”竟然先于“简单功能”出现。

“简单功能”在几年后才出现，不久即被发现。

随着伊朗的核计划成为世界舆论的中心，这有利于我们更清晰的了解通过程序来尝试破坏其核计划。

震网病毒对于伊朗核计划的真实影响并不确定，因为到底有多少控制器真正的被感染，并不清楚，没有这方面的消息。

但是不管怎样，通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。

我在过去的三年里对震网病毒进行分析，不但分析其计算机代码，还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。

我的发现如下全景图所示，它包含震网病毒的第一个不为人知的变种（“复杂功能”），这一变种需要我们重新评估其攻击。

事实上这一变种要比公众所认知的网络武器危险的多。

今天，我们已经知道，拥有“复杂功能”的震网病毒包含一个payload，该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。

什么是震网病毒震网病毒(Stuxnet病毒)，是一个席卷全球工业界的病毒，该病毒与2010年6月首次被检测出来，也是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒。

下面由店铺给你做出详细的震网病毒介绍!希望对你有帮助!震网病毒介绍如下：该病毒是有史以来最高端的“蠕虫”病毒。

蠕虫病毒是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。

震网病毒作为世界上首个网络“超级破坏性武器”，已经感染了全球超过45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。

录1简要概述2发现历程3事件信息4主要特点5深度分析第一章事件背景第二章样本典型行为分析第三章解决方案与安全建议第四章攻击事件的特点第五章综合评价6展望思考专家称其高端性显示攻击应为国家行为病毒肆虐将影响我国众多企业简要概述编辑震网(Stuxnet)，指一种蠕虫病毒。

它的复杂程度远超一般电脑黑客的能力。

这种震网(Stuxnet)病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒，比如核电站，水坝，国家电网。

互联网安全专家对此表示担心。

“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。

通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。

而“震网”病毒不像一些恶意软件那样可以赚钱，它需要花钱研制。

这是专家们相信“震网”病毒出自情报部门的一个原因。

据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究，近60%的感染发生在伊朗，其次为印尼(约20%)和印度(约10%)，阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

由于“震网”感染的重灾区集中在伊朗境内。

美国和以色列因此被怀疑是“震网”的发明人。

这种新病毒采取了多种先进技术，因此具有极强的隐身和破坏力。

只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。

一个U盘传播的震网病毒，破坏了伊朗的核计划编者按：纳坦兹核工厂的离心机级联方式，从左往右正是20，24，20，16，12，8，4，与震网病毒的描述完全相同！内贾德视察伊朗浓缩铀工厂原题 | 只靠U盘传播的震网病毒破坏了伊朗的核计划来源 | 百家号“史海挖掘者”作者 | 史海挖掘者震网病毒是一种首次发现于2010年的恶性蠕虫电脑病毒，攻击的目标是工业上使用的可编程逻辑控制器（PLC）。

震网病毒感染了全球超过20万台电脑，摧毁了伊朗浓缩铀工厂五分之一的离心机。

震网病毒的感染途经是通过U盘传播，然后修改PLC控制软件代码，使PLC 向用于分离浓缩铀的离心机发出错误的命令。

伊朗纳坦兹的核工厂与其他的恶性病毒不同，震网病毒看起来对普通的电脑和网络似乎没有什么危害。

震网病毒只会感染Windows操作系统，然后在电脑上搜索一种西门子公司的PLC控制软件。

如果没有找到这种PLC控制软件，震网病毒就会潜伏下来。

如果震网病毒在电脑上发现了PLC控制软件，就会进一步感染PLC软件。

随后，震网病毒会周期性的修改PLC工作频率，造成PLC控制的离心机的旋转速度突然升高和降低，导致高速旋转的离心机发生异常震动和应力畸变，最终破坏离心机。

西门子公司的PLC震网病毒的目标是伊朗的核工厂，位于纳坦兹的浓缩铀工厂需要大量的离心机来分离铀235和铀238，因此也广泛使用了西门子公司的PLC及控制软件。

2009年上半年，由于该工厂部分离心机的异常停机造成严重的生产事故，导致伊朗原子能机构的负责人迫于压力辞职。

在2009年11月到2010年1月之间，震网病毒就摧毁了伊朗1000多台离心机。

伊朗浓缩铀工厂的离心机在震网病毒的肆虐下，伊朗纳坦兹的核工厂里可用的离心机数量从4700台降低到3000多台。

到2010年，核工厂仍然因为技术问题多次停工，工厂的浓缩铀分离能力比去年下降了30%。

对于频繁出现在纳坦兹核工厂的生产事故，唯一合理的解释就是震网病毒。

收稿时间：2011-07-15作者简介：李战宝（1964-），男，河南，副研究员，本科，主要研究方向：国外信息安全研究；潘卓（1986-），女，黑龙江，翻译，本科，主要研究方向：国外信息安全研究。

李战宝，潘卓（1.国家信息技术安全研究中心，北京 100084）摘　要：2010年伊朗发生的“震网”病毒事件震动全球，成为业界瞩目的热点。

文章介绍了“震网”病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等，并探讨了该事件带来的启示。

关键词：“震网”病毒；数据采集与监视控制系统；工业控制系统中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2011）09-0230-03The Perspective of Stuxnet ViruLI Zhan-bao, PAN Zhuo( 1. National Research Center for Information Technology Security, Beijing 100084, China )Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it becamea hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus,its operating environment, its ways and features of infection, as well as its harm and preventive measures. We alsoexplore several inspirations referred to this event to our people, all of this as for reference only.Key words: stuxnet virus; SCADA; ICSdoi：10.3969/j.issn.1671-1122.2011.09.070透视“震网”病毒1 “震网”病毒震动业界近期，“震网”病毒（Stuxnet病毒）成为业界热议的焦点之一，信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一，并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一，且病毒攻击将更具目的性、精确性和破坏性。

震网病毒的特点和传播途径008年，“震网”病毒攻击就开始奏效，伊朗核计划被显著拖延，它有什么特点和传播途径呢!下面由店铺给你做出详细的震网病毒的特点和传播途径介绍!希望对你有帮助!“震网”病毒的特点：1、与传统的电脑病毒相比，“震网”病毒不会通过窃取个人隐私信息牟利。

2、由于它的打击对象是全球各地的重要目标，因此被一些专家定性为全球首个投入实战舞台的“网络武器”。

3、无需借助网络连接进行传播。

计算机安全专家在对软件进行反编译后发现，“震网”病毒结构非常复杂，因此它应该是一个“受国家资助高级团队研发的结晶”。

这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件，并且代替其对工厂其他电脑“发号施令”。

4、极具毒性和破坏力。

“震网”代码非常精密，主要有两个功能，一是使伊朗的离心机运行失控，二是掩盖发生故障的情况，“谎报军情”，以“正常运转”记录回传给管理部门，造成决策的误判。

在去年的攻击中，伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。

5，“震网”定向明确，具有精确制导的“网络导弹”能力。

它是专门针对工业控制系统编写的恶意病毒，能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击，不再以刺探情报为己任，而是能根据指令，定向破坏伊朗离心机等要害目标。

6，“震网”采取了多种先进技术，具有极强的隐身性。

它打击的对象是西门子公司的SIMATICWinCC监控与数据采集(SCADA)系统。

尽管这些系统都是独立与网络而自成体系运行，也即“离线”操作的，但只要操作员将被病毒感染的U盘插入该系统USB接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得该系统的控制权。

7，“震网”病毒结构非常复杂，计算机安全专家在对软件进行反编译后发现，它不可能是黑客所为，应该是一个“受国家资助的高级团队研发的结晶”。

美国《纽约时报》称，美国和以色列情报机构合作制造出“震网”病毒。

文/（俄）巴维尔·沃洛布耶夫 编译/ 孙书贵 杨国辉震网病毒又名Stuxnet病毒，是一个席卷全球产业界的病毒。

关于震网蠕虫的问题已经有了诸多论述。

但是，产生震网病毒的奇怪原因则谈得不够，因为它不是一种普通的病毒。

震网病毒是历史上首个能够突破网络空间边界并进入到真实世界中的病毒，它不仅能够损坏数据和程序编码，而且能够损坏机器和设备本身。

震网病毒的出现不仅暴露了微软操作系统中的又一批漏洞，而且使信息安全专家的视线转向了对于他们来说完全新型的领域——工业系统安全。

此前，尽管有几家安全公司几年前就对工业系统安全发出了警示，但是很少有人真正考虑这一问题。

其原因显而易见：工业网不仅与公用网络隔离，而且与企业的内部网络隔离，并且，在工业网中使用了非常专业的设备和软件，且严格地规定所有工艺流程。

似乎，一切都应该是安全的，不会出现任何危险。

但实际情况却不是这样！震网蠕虫的研制者毫不费力地绕过了这一看似最可靠的物理防护。

之所以我们要将其称之为“研制者”，因为，这显然指的不是一个人，而是一个群体，在这个群体中，除了专业的程序设计人员和代码编写者之外，还包括了工艺流程自动化控制系统的专家和工程师，他们熟知使用工业控制器以及其它外围设备的工作特点。

这件事反映出很多问题，但从首次发现震网病毒之时起已经过去了好几个月，至今也还没有明确的答案。

其原因有几个：1.这是第一起针对工业控制系统的恶意程序事件；2.信息安全及病毒防护专家脑 中对“可编程控制器”及“数据采集与监控系统”不熟悉，而工艺流程自动化控制系统专家则又不熟悉信息安全问题，这就严重地妨碍了对病毒进行分析的工作；震网病毒与应对防护编者按：2010年12月7日，俄罗斯“Digital Security”公司技术系统信息安全专家巴维尔·沃洛布耶夫撰文对震网病毒问题进行了论述，文章原题目为《数据采集与监控系统安全：什么是震网病毒及如何抗震网病毒？》。

文章阐述了工业网的基本情况、震网病毒的产生及其危害，造成该病毒大肆泛滥的主要原因，并对如何应对该病毒提出了自己的建议。

震网病毒的防范措施1. 什么是震网病毒？震网病毒是一种针对计算机网络的恶意软件，它可以通过网络传播及感染计算机系统。

震网病毒通常会引起网络瘫痪、数据丢失和系统崩溃等严重后果。

2. 震网病毒的主要传播途径震网病毒主要通过以下几种方式传播：•邮件附件：震网病毒通常通过电子邮件的附件进行传播。

当用户打开或下载附件时，病毒会感染用户的计算机系统。

•恶意链接：震网病毒也可以通过恶意链接传播。

当用户点击包含病毒链接的网页或邮件时，病毒会被下载到用户的计算机系统中。

•受感染的外部设备：震网病毒还可以通过受感染的硬盘、USB等外部设备进行传播。

当用户将受感染的外部设备连接到自己的计算机上时，病毒会传播到计算机系统中。

3. 震网病毒的防范措施为了保护计算机系统免受震网病毒的感染，我们可以采取以下防范措施：3.1 安装可信的杀毒软件安装一款可信的杀毒软件是预防震网病毒的重要措施。

杀毒软件可以及时发现并清除潜在的病毒文件，以保护计算机的安全。

同时，经常更新杀毒软件的病毒库也是必要的，以确保能够及时应对最新的病毒威胁。

3.2 邮件附件的警惕在接收电子邮件时，要格外警惕带有附件的邮件。

首先，确保发送方是可信的；其次，不随意打开或下载未知来源的附件。

建议在必要的情况下，使用杀毒软件对附件进行扫描以确保安全。

3.3 不随意点击恶意链接避免随意点击不明来源的链接，尤其是通过邮件、社交网络和即时通讯工具收到的链接。

恶意链接可能会引导用户访问感染病毒的网页，从而导致计算机系统被感染。

在点击链接之前，可以将鼠标悬停在链接上，观察链接的真实地址，以判断其是否可信。

3.4 外部设备的安全使用在使用外部设备（如USB、硬盘）时，要特别注意它们的来源。

不要随意插入不明来源的外部设备，以免感染病毒。

如果必须使用外部设备，应先使用杀毒软件对其进行扫描，确保设备没有受到病毒感染。

3.5 及时更新操作系统和应用程序及时更新操作系统和应用程序也是防范震网病毒的重要步骤。

震网事件对信息安全之启示震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网，是真正意义上的网络武器。

“震网”病毒给我们的信息安全敲响了警钟，给物理隔离网络安全带来了新的启示。

本文从风险控制角度，就五个方面探讨物理隔离网络的安全防护措施。

1、加强内网终端的安全防护物理隔离网络的终端安全往往被忽视。

很多用户认为自己处于隔离网络的“内部”，对外有整体网络的区域防护就已经很安全了。

但是我们知道，根据木桶原理的短板效应，网络的安全性是取决于其最弱环节，终端的每一台主机都有可能成为病毒攻击的入口，因此必须强化终端的安全防护。

内网终端的安全防护可以采用的措施主要包括：在终端设备上开启防火墙功能；及时安装操作系统和各种应用程序的最新补丁；安装杀毒软件，开启实时监控功能，并及时更新病毒库升级到最新版本；关闭默认共享，阻止病毒在局域网中传播；使用强口令，以保护系统免受攻击；关闭主机中不必要的网络服务端口；关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，使用专用的Ｕ盘病毒查杀工具等等。

2、建立完善的内网终端准入控制在加强内网终端自身安全防护的同时，对于外来终端进入内网的准入控制，也是构建一个安全网络、有效控制安全风险的关键。

终端准入控制是一个系统工程，它具有统一目标和统一策略，能够有效控制、监视和跟踪分散的内网终端。

从功能上，可以将终端准入控制分为6个方面：（1）准入认证。

通过准入认证，形成有效的权限控制机制，完成用户名与IP、MAC、VLAN、接入端口、接入设备IP、SSID等多元素绑定。

目前常见认证协议包括802.1X协议、Web认证、PPPoE协议等。

（2）安全评估。

终端安全控制评估主要包括对终端系统补丁管理、防病毒软件检查、注册表监控、异常流量和连接数监控等方面。

（3）权限控制。

主要包括对不同角色、不同用户的权限策略控制，对移动存储介质以及其它外设的安全策略控制。

震网电脑病毒攻击事件相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。

下面由店铺给你做出详细的震网病毒攻击事件介绍!希望对你有帮助!震网病毒攻击如下：4.1 专门攻击工业系统Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。

这是一款数据采集与监视控制(SCADA)系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程;它运行于Windows平台，常被部署在与外界隔离的专用局域网中。

一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。

此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。

无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。

这也表明攻击的意图十分明确，是一次精心谋划的攻击。

4.2 利用多个零日漏洞Stuxnet蠕虫利用了微软操作系统的下列漏洞：RPC远程执行漏洞(MS08-067)快捷方式文件解析漏洞(MS10-046)打印机后台程序服务漏洞(MS10-061)内核模式驱动程序漏洞(MS10-073)任务计划程序程序漏洞(MS10-092)后四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。

如此大规模的使用多种零日漏洞，并不多见。

这些漏洞并非随意挑选。

从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。

比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。

另一方面，在安天捕获的样本中，有一部分实体的时间戳是2013年3月。

这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。

但直到7月份大规模爆发，漏洞才首次披露出来。

这期间要控制漏洞不泄露，有一定难度。

4.3 使用数字签名Stuxnet在运行后，释放两个驱动文件：%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。

震网病毒的事件介绍伊朗到底是什么时候才发现中毒的，外界不得而知。

震网病毒到底有什么影响呢!下面由店铺给你做出详细的震网病毒事假介绍!希望对你有帮助!震网病毒事件介绍：2010年，震网病毒公布后，引起了信息安全界的轰动，经过许多专家的深入研究，它针对纳坦兹核工厂的攻击意图已经被揭露成了司马昭之心。

但即便如此，伊朗仍然矢口否认核工厂遭到了攻击。

当然，伊朗到底是真的认为自己的工厂固若汤金，还是出于某种宣传策略而拒不承认，外界同样也不得而知了。

受害一方不肯承认，作案一方同样也没人出来领功。

开发像震网这样一款高度复杂的病毒，对资金、人才、情报、组织等各方面都有极高的要求，再加上其独特的攻击目标设定，世界上有这种能力和动机的，只有美国或以色列政府。

但美国和以色列并不承认自己与此有关，从病毒代码中也找不出什么证据能牵涉到美以两国，外界也只能停留在猜测而已。

震网病毒如同一件孤独的凶器，不知道谁制造了它，也不知道它杀害过谁，外界只能从那锋利的刀刃推测它可怕的战斗力。

直到2012年，伊朗核问题波澜已定，一些美国退休官员才向《纽约时报》透露，针对伊朗核工厂的攻击，是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的网络战争。

2006年伊朗重启核计划时，形势正如伊朗所料，美国的选择并不多。

美军已经占领了伊拉克，却迟迟找不到传说中的大规模杀伤性武器，布什总统在国内国际政治上都处于被动局面，没有足够的政治能量再次以消灭核武器之名发动一场伊朗战争。

但如果不解决伊朗核问题，又无法对以色列交待，因为伊朗一旦拥有核武器，首当其冲的使用目标必定是以色列，以色列感受到极大的威胁。

以色列一再表态，要像1981年空袭伊拉克核反应堆一样，也对纳坦兹核工厂来一场外科手术式的打击，将伊朗核计划消灭在萌芽状态。

如果任由以色列空袭伊朗，这无疑又将搅乱中东局势，使地区纷争进一步升级，当地的反美情绪也会更加狂热化。

因此，当时的美国夹在以色列和伊朗之间左右为难。