- 积分
- 81117
- 最后登录
- 2024-4-25
- 精华
- 0
- 阅读权限
- 160
- 主题
- 8778
- UID
- 456912
- 帖子
- 156652
- PB币
- 518
- 威望
- 3076
- 贡献
- 0
- 技术
- 90
- 活跃
- 17893
- UID
- 456912
- 帖子
- 156652
- PB币
- 518
- 贡献
- 0
- 技术
- 90
- 活跃
- 17893
|
震网病毒(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
如此强大的病毒怎么会被发现的?据恶意软件研究者Tillmann Werner和Felix Leder介绍称,这个狡猾无比的网络间谍工具——震网病毒延缓了伊朗的核项目长达两年(就算是同时毁掉所有的离心机也不会产生如此长的延期!)——最终是因为一段问题代码而暴露了。
设计者希望震网保持“低调”从而不被伊朗的人发现,否则它就要破坏计算机系统。然而,一个编程错误导致它可以蔓延到并不支持的低版本Windows系统的电脑中,导致系统崩溃。而那些在这场网络战中“牺牲”的蓝色电脑屏幕则引起了伊朗Natanz核试验室的怀疑。
由于震网不支持win 95和win 98,因此震网蠕虫会在摧毁这两个系统时自行毁灭。不幸的是,有人某天在编程震网的时候心情很糟糕,因此错误地将and和or字符交换,导致程序能够蔓延到任何版本的Windows系统中,甚至是它并不支持的版本。
当你在一项任务中花费了几年的时间,却因为一次远程攻击系统,突然在几分钟之内你就暴露了。这感觉应该很不好……
然而震网在被发现之前能够成功地破坏了伊朗铀浓缩离心机,可能因为震网蠕虫之前没找到装有Windows老版本的计算机,或者是因为伊朗的科学家们已经习惯了Windows 95和Windows 98出现蓝屏的情况。
别急,还有其他亮点
虽然震网是最复杂的恶意病毒,但是Werner和Leder表示两人找到了其中的漏洞。Conficker蠕虫中的一个错误编程缩减震网蠕虫的潜在受害者库,同样降低了其攻击性。Conficker蠕虫是以微软的windows操作系统为攻击目标的计算机蠕虫病毒。几乎每个人都可能被感染。由于一个随机生成地址的漏洞导致它只能扫描全部IPv4地址的四分之一。它的随机数函数可以输入15比特位整数——从0到0x7fff(即0到RAND_MAX)——然后函数被调两次来产生一个32比特位的IPv4地址。实际上是产生了一个30比特位的整数,遗漏了IPv4空间的组块。
“如果你连续攻击受害者,就很容易被检查出来,所以这些家伙聪明了一些,选择了随机地址。有趣的是RAND_MAX只有15比特位,这就意味着Conflicker产一个IP地址就调用了两次函数,只得到了30个随意比特位。因此它智能扫描四分之一而不是整个互联网。”Werner说。
|
|