江苏龙网

  1. 主页 > 生活百科 > >

超级工厂病毒病毒专杀 历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗?( 二 )


磁碟机病毒
7. 超级工厂病毒(2010年)
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒 , 能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击 。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击 , 由于该系统在我国的多个重要行业应用广泛 , 被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控 。传播途径:该病毒主要通过U盘和局域网进行传播 。历史“贡献”:曾造成伊朗核电站推迟发电 。2010-09-25 , 进入中国 。
火爆当年的“超级病毒”Stuxnet
8. WannaCry
WannaCry(想哭 , 又叫Wanna Decryptor) , 一种“蠕虫式”的勒索病毒软件 , 大小3.3MB , 由不法分子利用NSA(National Security Agency , 美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB) , 以类似于蠕虫病毒的方式传播 , 攻击主机并加密主机上存储的文件 , 然后要求以比特币的形式支付赎金 。勒索金额为300至600美元 。
2017年5月14日 , WannaCry 勒索病毒出现了变种:WannaCry 2.0 , 取消Kill Switch 传播速度或更快 。截止2017年5月15日 , WannaCry造成至少有150个国家受到网络攻击 , 已经影响到金融 , 能源 , 医疗等行业 , 造成严重的危机管理问题 。中国部分Windows操作系统用户遭受感染 , 校园网用户首当其冲 , 受害严重 , 大量实验室数据和毕业设计被锁定加密 。
目前 , 安全业界暂未能有效破除该勒索软件的恶意加密行为 。微软总裁兼首席法务官Brad Smith称 , 美国国家安全局未披露更多的安全漏洞 , 给了犯罪组织可乘之机 , 最终带来了这一次攻击了150个国家的勒索病毒 。
WannaCry永恒之蓝病毒
写在最后
纵观这些年间计算机病毒的发展历史 , 不难发现 , 尽管病毒是伴随着计算机与互联网同步生成的一个产物 , 但随着各种安全防护工具普及 , 以及人们安全意识的提高 , 近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了 。不过近期爆发的WannaCry还是给我们敲响了一记警钟 , 定期打补丁 , 定期给重要数据做备份 , 永远都不是一个落伍的话题!警钟长鸣 , 做好备份!
Q2:超级工厂的病毒分析Worm.Win32.Stuxnet病毒分析名称:Worm.Win32.Stuxnet
病毒概述:
这是一个可以通过微软MS10-046漏洞(lnk文件漏洞) , MS10-061(打印服务漏洞) , MS08-067等多种漏洞传播的恶性蠕虫病毒 。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击 , 以获取其需要的信息 。
技术细节:
传播方式:
1. 通过MS10-046漏洞传播
病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp(动态库)和一个注入下列文件名的lnk文件组成:
Copy of ShortCut to .lnk
Copy of Copy of ShortCut to .lnk
Copy of Copy of Copy of ShortCut to .lnk…
在存在MS10-046漏洞的机器上 , 只需浏览这些lnk , Explorer.exe就会将~WTR数字.Tmp加载起来 。
2. 通过MS10-061漏洞传播
该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播 。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下 , 并利用WMI将其执行起来 。
3. 通过共享文件夹传播
该病毒还会试图将自身拷贝到局域网共享文件夹下 , 并命名为类似DEFRAG(随机数字).tmp的名称 。
4. 通过MS08-067漏洞传播
该病毒还会利用MS08-067漏洞传播 。
病毒的主要功能以及大致流程:
当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后 , Explorer.exe会加载~WTR数字.Tmp , 然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库 。在加载该恶意dll时 , 病毒并没有通过普通的LoadLibrary函数加载 , 为了隐藏自身模块 , 同时为了达到不释放文件来加载病毒模块的目的 , 它采取了一个特殊方式 。病毒会首先hook ntdll的一些导出函数 , 然后 , 它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr , 然后以此为参数调用LoadLibrary , 正常情况下 , 该调用会失败因为该文件并不存在 , 但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作 。如果发现是自身构造的虚假文件名 , 则会重定向到其他位置 , 比如另一个文件或者通常情况下是一块已经被病毒解密过的内存 , 这样 , 外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块 。这样病毒就达到了隐藏自身的目的 。


推荐阅读


上一篇:蒸山药需要多久?山药蒸多久可以熟啊?

下一篇:水仙花有毒吗 水仙花能放在卧室内吗