震网病毒 震网病毒的背景

　　世界上每天都有新病毒产生，大部分都是青少年的恶作剧，少部分则是犯罪分子用来盗取个人信息的工具，震网病毒也许只是其中之一，它的背景是什么样的呢!下面由本站小编给你做出详细的震网病毒背景介绍!希望对你有帮助!

　　震网病毒背景介绍：

　　首先，它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率，具有巨大的经济价值，在黑市上，一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客，也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点，就可以看出该病毒的开发者不是一般黑客，它具备强大的经济实力。并且，开发者对于攻击目标怀有志在必得的决心，因此才会同时用上多个零日漏洞，确保一击得手。

　　其次，它具备超强的USB传播能力。传统病毒主要是通过网络传播，而震网病毒大大增强了通过USB接口传播的能力，它会自动感染任何接入的U盘。在病毒开发者眼中，似乎病毒的传播环境不是真正的互联网，而是一个网络连接受到限制的地方，因此需要靠USB口来扩充传播途径。

　　最奇怪的是，病毒中居然还含有两个针对西门子工控软件漏洞的攻击，这在当时的病毒中是绝无仅有的。从互联网的角度来看，工业控制是一种恐龙式的技术，古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革，这些都让工控系统看上去跟互联网截然不同。此前从没人想过，在互联网上泛滥的病毒，也可以应用到工业系统中去。

　　5深度分析编辑

　　第一章 事件背景

　　2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

　　Stuxnet蠕虫(俗称“震网”、“双子”)在2003年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，截止到2010年09月全球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

　　安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、600多个不同哈希值的样本实体。

　　第二章 样本典型行为分析

　　2.1 运行环境

　　Stuxnet蠕虫在以下操作系统中可以激活运行：

　　Windows 2000、Windows Server 2000

　　Windows XP、Windows Server 2003

　　Windows Vista

　　Windows 7、Windows Server 2008

　　当它发现自己运行在非Windows NT系列操作系统中，即刻退出。

　　被攻击的软件系统包括：

　　SIMATIC WinCC 7.0

　　SIMATIC WinCC 6.2

　　但不排除其他版本存在这一问题的可能。

　　2.2 本地行为

　　样本被激活后，典型的运行流程如图1 所示。

　　样本首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。

　　接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。

　　具体而言，样本先申请足够的内存空间，然后Hookntdll.dll导出的6个系统函数：

　　ZwMapViewOfSection

　　ZwCreateSection

　　ZwOpenFile

　　ZwClose

　　ZwQueryAttributesFile

　　ZwQuerySection

　　为此，样本先修改ntdll.dll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现hook。

　　进而，样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。

　　此后，样本跳转到被加载的DLL中执行，衍生下列文件：

　　%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 　其中有两个驱动程序mrxcls.sys和mrxnet.sys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程序都使用了Rootkit技术，并有数字签名。

　　mrxcls.sys负责查找主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统进程的镜像加载操作，将存储在%Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中，后两者是WinCC系统运行时的进程。

　　mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件。看过“震网病毒的背景 ”人还看了：

1.工控网络安全对社会重要吗

2.电脑病毒“火焰”