Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。
这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。
Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫。
从本质上来说,Duqu是一种远程访问的木马或者RAT,它有一个简单的后门可以为攻击者在受害者机器上提供一个长久的驻足点。一旦建立了后门,Duqu就可接触到受害机器上的命令和控制服务器,然后攻击者可以在该服务器上下载附加的模块,以丰富其攻击程序的功能。
与其说Duqu是一个间谍工具,还不如说它更像一个侦查软件。Duqu是有生命周期的,在代码执行30天以后它会自毁并删除掉所有的入侵痕迹。Duqu之所以与众不同,是因为它的攻击对象很特殊。数字证书是让互联网各项功能正常运行的核心环节,所以,如果数字证书遭到了入侵,这对互联网来说简直就是毁灭性的打击。Duqu还有一个很特殊的部分就是攻击者在受害者机器上下载额外负载模块(Payload)时所使用的组件。这个组件所使用的编程语言既不是C语言也不是C++语言,而是一种研究员们从来没有见过的编程语言。
Duqu攻击没有使用0day漏洞利用程序来帮助其传播,也不能像Stuxnet那样自动的传播。但是一旦机器感染了Duqu,攻击者只需手动的从受控制的服务器上发送攻击指令,它就可以立即感染其他的机器。Duqu执行的是系统性强且有条理的攻击,它甚至会根据不同的目标编译不同的攻击文件,执行不同的命令。