海湾战争中首次引用计算机病毒进行实战

网络战争的缘起，可以追溯到1991年的海湾战争。

1990年，美国获悉一个重要情报：伊拉克将从法国购买一种用于防空系统的新型电脑打印机，准备通过约旦首都安曼偷运回巴格达。美国间谍买通了安曼机场的守卫人员，运送打印机的飞机一降落到安曼，他就偷偷溜进机舱，用一套带有计算机病毒的同类芯片换下了电脑打印机中的芯片。伊拉克人毫无察觉，将带有病毒芯片的电脑打印机安装到了防空系统上。海湾战争爆发后，美国人通过无线网络激活了电脑打印机芯片内的计算机病毒，病毒侵入伊拉克防空系统的电脑网络中，使整个系统陷入瘫痪。美国由此取得了海湾战争中的关键性胜利。这是世界上首次将计算机病毒用于实战并取得较好效果的战例，从而也使网络空间战初现端倪。

扩展阅读

Stuxnet又名“震网”，是针对微软系统以及西门子工业系统的最新病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet在2010-09-25侵入我国。瑞星12年9月25日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。

瑞星安全专家介绍，Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。到2013年已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。

据报道，Stuxnet摧毁了伊朗纳坦兹铀浓缩设施中的许多离心机，导致这些离心机自行烧毁。随着时间的推移，其他团体对病毒进行了改造，使其成为目标设施，包括水处理厂、发电厂和天然气管道。

我们不知道 Stuxnet 的作者是谁，只知道大概是在2005年至2010年间编写的。

Stuxnet是一种多部件的蠕虫病毒，它在USB上传播，并在微软的Windows计算机上传播。当 U 盘插入 PC，它会自动运行，将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通，就尝试另一种。其中的两种运行方法是全新的，使用了 Windows 的两个无人知晓的秘密 Bug。

该病毒在每台受感染的PC机上搜索西门子第7步软件的迹象，该软件是作为PLC的工业计算机，用于自动化和监控机电设备。在找到一台PLC计算机后，恶意软件攻击在互联网上更新了它的代码，并开始向PC控制的机电设备发送导致损坏的指令。同时，病毒向主控制器发送错误反馈信息。任何监视这些设备的人在设备开始自毁之前都不会发现有问题。

一旦蠕虫进入 PC ，它会尝试获得该 PC 的管理员权限，使用的也是前面提到的那两个无人知道的秘密 Bug。然后，它把自己留下的痕迹全部清除，不让防病毒软件检测到它的存在，用户不会看到任何东西。这种蠕虫隐藏得很好，出现后一年多，没有任何一家安全公司发现它的存在。

Stuxnet在2010年6月被发现，专门用来接管某些可编程工业控制系统，使这些系统运行的设备发生故障，同时向系统监控器提供虚假数据，表明设备按预期运行。在2010年被发现后引起了媒体的广泛关注，因为它是已知的第一种能够破坏硬件的病毒，也是因为它似乎是由美国国家安全局、中央情报局和以色列情报机构制造的。

计算机安全世界各地的专家，Stuxnet针对的是某些“监控与数据采集“(SCADA)系统由德国电气公司制造西门子公司控制机械受雇于发电厂和类似设施。更具体地说，这种蠕虫病毒只针对西门子SCADA系统，这些系统与变频器驱动器、控制工业电机速度的设备一起使用，甚至只有芬兰和伊朗的某些制造商制造的驱动器才能以非常特定的高速运行电机。这一组合向分析人士表明，Stuxnet可能的目标是在伊朗-或位于NaṭANZ的铀浓缩厂或a核反应堆在Būshhr或两者兼而有之，这一结论得到了数据的支持，数据显示，截至2010年底，在受Stuxnet感染的大约100,000台计算机中，60%以上位于伊朗。

这种蠕虫至少从2009年年中就一直在传播，事实上，在那一年的下半年，在NaṭANZ工厂，大量的离心机(以极高速度旋转浓缩铀的机器)被拆除并更换。伊朗的核计划，大多数外国政府认为这是在努力生产。核武器，即使在发现蠕虫之后，也继续遭受技术上的困难。

直到2010年夏天，全世界有13万台电脑受到Stuxnet的影响。这一努力没有奏效；到2011年初，伊朗的产量已经恢复，美国和以色列的情报部门正在努力发现可能会减缓伊朗生产努力的潜在新目标。
到2012年6月，Stuxnet程序已经停止，但是代码的副本逃脱了预定的目标。黑客进行了修改，Stuxnet现在被认为是下一个最大的安全威胁的基础。

扩展阅读

Nimda是微软Windows上的一个蠕虫，也是第一个能够在用户甚至不使用该蠕虫打开电子邮件的情况下自行运行的蠕虫。它也是第一个修改网站以提供自己的副本供下载的网站。它还有一个感染可执行文件的病毒组件。这是迄今为止发现的最具破坏性的蠕虫之一。

Nimda worm于2001年9月中旬首次在互联网上造成了严重破坏，并以电子邮件附件的形式传播开来。它还通过网络上的共享硬盘和感染浏览受感染服务器上托管的网页的用户进行移动。当以电子邮件的形式传播时，Nimda以名为“Readme.exe” 的文件隐藏自身。

但是，当Nimda文件通过受感染的网页传播时，通常会在提示下自动下载到用户的计算机上。最初的worm virus在大约30分钟内传播到世界各地，导致一些公司禁止用户在线，直到补丁和升级到位。

根据反病毒公司Kasperksy Labs发布的警报，Nimda在11月之前已经产生了三种变种：“Nimda.b”、“Nimda.c”和“Nimda.d”，不过没有一种特别危险，也没有一种与原来的不同。

然而，最新版本“Nimda.e”是original worm的重新编译版本，Kaspersky和TruSecure恶意代码技术总监Roger Thompson都这么认为。Roger Thompson在世界范围内经营着一个由“worm catcher”系统组成的网络，这个网络发现了第一个Nimda worm，尽管迄今为止只有一个worm catcher受到了这种new worm的攻击。

Thompson说，新的变种是一个重新编译的版本，这表明原作者已经对worm进行了修改并重新发布了它。Thompson还没有完全分析新的变种，但他确实注意到一些变化，他说：““Readme.exe”文件现在已更改为“sample.exe”，worm现在下载名为“cool.dll”和“httpodbc.dll”而之前它只获取“admin.dll”，代码中的一些子例程也被修改了，尽管这样做的效果还不清楚”。

Nimda最初是使用电子邮件和Web过滤器、防病毒更新和对微软IE（Internet Explorer）Web浏览器的更新的组合进行攻击的，该浏览器被用来自动下载worm virus。由于此最新版本中的文件名已更改，管理员将不得不更改正在筛选的文件名，但最好是阻止所有.exe。汤普森他还提醒用户升级浏览器。

Thompson说，尽管目前的变种病毒“远未达到最初Nimda worm的传播速度”，但该worm很可能会通过攻击上次worm爆发后没有得到充分修补的电脑来获取新的worm。
他说：“我不认为有太多人修补了他们的浏览器，升级浏览器的用户应该是“相当安全的”，但他补充说，“如果他们上次通过更新anti-virus [software]击败了Nimda，那么他们仍然可能会受到攻击。”