震网给自己的行动设定了终止日期:2012年6月24日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。
已经被感染的机器上的恶意程序则仍然会继续运作,但震网病毒将不再感染新的计算机。
特征之五:一个病毒用了4个零日漏洞
零日漏洞,是黑客世界中最牛的东西之一。「零日」二字指的是指软件开发商有零日,即完全没有时间来修复漏洞
如今老人离世,这可能是子女能为父母在人间做的最后一件事了。
。这类电脑一般部署在专用的内部局域网中,并与外部互联网实行了物理上的隔离。在感染一台电脑后,震网病毒会首先检测该电脑是否安装了西门子的那两款软件。
如果没有,那震网病毒就会悄悄地隐藏在系统最底层,等待传播给另一台电脑,除此之外,不会做任何进一步动作。这说明震网病毒对普通人的电脑并不感兴趣。
除此之外,每新感染一台电脑,震网病毒都会检查该电脑是否被震网病毒感染过。
如果发现上面已有旧的震网版本,就会将其清除并用新版本替换掉。一旦被感染的电脑连接到了互联网,震网病毒便会立刻「打电话回家」,家是两个地址分别在丹麦和马来西亚的服务器。
震网病毒会给家里汇报被感染电脑的信息,例如windows版本、内网IP、是否安装了Step 7和WinCC软件等等。
特征之三:有合法数字签名
最先发现震网病毒的乌尔森察觉到,将震网病毒注入到电脑上后,在无任何弹窗提示的情况下,病毒的驱动程序文件就完成了自身的安装。
要知道,当时主流的操作系统Windows 7的安全特性要求「当没有安全证书的程序安装时,会弹出提示框」,这意味着震网病毒已经获得了合法数字签名。
后来,乌尔森发现震网病毒的数字签名来自台湾一家名为瑞昱半导体的公司(RealTek Semiconductor,以生产声卡著称)。
数字签名可以被理解为程序的数字护照,有签名的程序就是合法产品。计算机会认为,这类程序是可信的,否则就会出现弹窗提示。
之前,也有黑客尝试在数字签名上做文章,但他们用的都是假的、自己制作的签名文件,很容易被系统识破。
而震网病毒用的却是著名台湾硬件厂商瑞昱公司的签名文件,这种战术是乌尔森从未见过的。
一种可能性是震网背后的开发者黑掉了瑞昱公司开发人员的电脑,然后使用开发人员的电脑及权限,秘密授予了病毒数字签名。
另一种可能性是攻击者偷到了瑞昱公司的认证密钥和证书。
出于安全考虑,很多公司会把它们的密钥和证书保存在不联网的服务器上,或者保存到提供额外安全防护的硬件模块上,但并不是每个公司都会这样做。
后来,有线索证明,瑞昱公司的证书确实被人偷走了。
特征之四:有截止日期
