震网病毒的背景？

世界上每天都有新病毒产生，大部分都是青少年的恶作剧，少部分则是犯罪分子用来盗取个人资讯的工具，震网病毒也许只是其中之一，它的背景是什么样的呢!下面由我给你做出详细的震网病毒背景介绍!希望对你有帮助!

　震网病毒背景介绍：

首先，它利用了4个Windows零日漏洞。零日漏洞是指软体中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率，具有巨大的经济价值，在黑市上，一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客，也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点，就可以看出该病毒的开发者不是一般黑客，它具备强大的经济实力。并且，开发者对于攻击目标怀有志在必得的决心，因此才会同时用上多个零日漏洞，确保一击得手。

其次，它具备超强的USB传播能力。传统病毒主要是通过网路传播，而震网病毒大大增强了通过USB介面传播的能力，它会自动感染任何接入的U盘。在病毒开发者眼中，似乎病毒的传播环境不是真正的网际网路，而是一个网路连线受到限制的地方，因此需要靠USB口来扩充传播途径。

最奇怪的是，病毒中居然还含有两个针对西门子工控软体漏洞的攻击，这在当时的病毒中是绝无仅有的。从网际网路的角度来看，工业控制是一种恐龙式的技术，古老的通讯方式、隔绝的网路连线、庞大的系统规模、缓慢的技术变革，这些都让工控系统看上去跟网际网路截然不同。此前从没人想过，在网际网路上氾滥的病毒，也可以应用到工业系统中去。

5深度分析编辑

　第一章 事件背景

2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的资料采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫***俗称“震网”、“双子”***在2003年7月开始爆发。它利用了微软作业系统中至少4个漏洞，其中有3个全新的零日漏洞;伪造驱动程式的数字签名;通过一套完整的入侵和传播流程，突破工业专用区域网的物理限制;利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意程式码。据赛门铁克公司的统计，截止到2010年09月全球已有约45000个网路被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗 *** 已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，释出了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、600多个不同杂凑值的样本实体。

　第二章 样本典型行为分析

2.1 执行环境

Stuxnet蠕虫在以下作业系统中可以启用执行：

Windows 2000、Windows Server 2000

Windows XP、Windows Server 2003

Windows Vista

Windows 7、Windows Server 2008

当它发现自己执行在非Windows NT系列作业系统中，即刻退出。

被攻击的软体系统包括：

SIMATIC WinCC 7.0

SIMATIC WinCC 6.2

但不排除其他版本存在这一问题的可能。

2.2 本地行为

样本被启用后，典型的执行流程如图1 所示。

样本首先判断当前作业系统型别，如果是Windows 9X/ME，就直接退出。

接下来载入一个主要的DLL模组，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模组释放为磁碟档案然后载入，而是直接拷贝到记忆体中，然后模拟DLL的载入过程。

具体而言，样本先申请足够的记忆体空间，然后Hookntdll.dll汇出的6个系统函式：

ZwMapViewOfSection

ZwCreateSection

ZwOpenFile

ZwClose

ZwQueryAttributesFile

ZwQuerySection

为此，样本先修改ntdll.dll档案记忆体映像中PE头的保护属性，然后将偏移0x40处的无用资料改写为跳转程式码，用以实现hook。

进而，样本就可以使用ZwCreateSection在记忆体空间中建立一个新的PE节，并将要载入的DLL模组拷贝到其中，最后使用LoadLibraryW来获取模组控制代码。

此后，样本跳转到被载入的DLL中执行，衍生下列档案：

%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF其中有两个驱动程式mrxcls.sys和mrxnet.sys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程式都使用了Rootkit技术，并有数字签名。

mrxcls.sys负责查询主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统程序的映象载入操作，将储存在%Windir%\inf\oem7A.PNF中的一个模组注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个程序中，后两者是WinCC系统执行时的程序。

mrxnet.sys通过修改一些核心呼叫来隐藏被拷贝到U盘的lnk档案和DLL档案。 ”人还：