本篇文章给大家谈谈超级工厂病毒,以及超级工厂病毒病毒专杀对应的知识点，希望对各位有所帮助，不要忘了收藏本站！

内容导航：

• 历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗
• 超级工厂的病毒分析
• copy of shortcut to是什么病毒怎么查杀
• 超级工厂（stuxnet病毒） 火焰病毒 暴雷漏洞 各是什么东西？
• 超级工厂的特点
• 超级工厂病毒如何植入电脑

Q1：历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗

这两天很多人都被比特币勒索病毒“永恒之蓝“给弄傻了，一言不合就加密硬盘，还只收比特币，简直让人没法沟通了。其实这“永恒之蓝”并不算是一个性质很恶劣的病毒，在漫长的病毒发展史上充其量就是一个小兄弟，而伴随着计算机发展这几十年，病毒与反病毒之间的斗争一直不曾消亡，接下来铁柱就跟大家介绍几个历史上最负盛名的“著名”病毒，看一看你是否中招过！

1. CIH（1998年）

提到病毒，首屈一指的莫过于当年的CIH了。它的厉害之处就在于，其他病毒破坏的都是电脑软件（充其量也就是操作系统、数据文件一级），而CIH破坏的是电脑硬件（让电脑无法开机）！当时恢复的方法，除了彻底清除硬盘数据外，还需要借助专业工具重写主板BIOS。也正是从那个时代开始，杀毒厂商才冒出了所谓的专杀工具，而主板厂商也因此开发出了双BIOS这样一些很奇葩的设计。

2. 红色代码（2001年）

“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒，感染运行Microsoft IIS Web服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限并为所欲为，可以盗走机密数据，严重威胁网络安全。

红色代码病毒

3. 冲击波（2003年）

冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的，该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机，找到后就利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统奔溃。另外，该病毒还会对系统升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows 2000\XP\Server 2003\NT4.0。

制造冲击波变种的少年

4. 震荡波（2004年）

“冲击波”余音未消，“震荡波”又来了，时隔一年之后又一款和冲击波表现类似的电脑病毒重回网友电脑。从名称上看，这两款病毒貌似区别并不是很大，甚至连重启提示都长得一样一样的。但实际上冲击波利用的是系统RPC漏洞，而震荡波利用的则是系统LSASS漏洞。甭管怎么说吧，反正这两种病毒始终都是那个时代的噩梦！

与“冲击波”齐名的“震荡波”病毒

5. 熊猫烧香（2006年）

提到熊猫，我们总会想起那憨憨可爱的样子，谁能想到它也会摇身一变成为一款令人胆战心惊的计算机病毒呢？2006年底到2007年初短短两个月时间里，一款名叫“熊猫烧香”的病毒便席卷了整个神州大地，一时间各大网站、个人电脑都被一个很诡异的病毒图标所覆盖——一只正在烧香的熊猫。除了图标外，熊猫烧香也会更改部分系统文件，造成个人数据丢失。而它的始作俑者——湖北武汉新洲区人李俊，也在当年被判处4年有期徒刑！

很多人都见过的“熊猫烧香”

6. 磁碟机（2007年）

磁碟机病毒又名dummycom病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！“磁碟机”现已经出现100余个变种，目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。

磁碟机病毒

7. 超级工厂病毒（2010年）

Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。

火爆当年的“超级病毒”Stuxnet

8. WannaCry

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

WannaCry永恒之蓝病毒

写在最后

纵观这些年间计算机病毒的发展历史，不难发现，尽管病毒是伴随着计算机与互联网同步生成的一个产物，但随着各种安全防护工具普及，以及人们安全意识的提高，近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了。不过近期爆发的WannaCry还是给我们敲响了一记警钟，定期打补丁，定期给重要数据做备份，永远都不是一个落伍的话题！警钟长鸣，做好备份！

Q2：超级工厂的病毒分析

Worm.Win32.Stuxnet病毒分析名称：Worm.Win32.Stuxnet

病毒概述：

这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。

技术细节：

传播方式：

1. 通过MS10-046漏洞传播

病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp（动态库）和一个注入下列文件名的lnk文件组成：

Copy of ShortCut to .lnk

Copy of Copy of ShortCut to .lnk

Copy of Copy of Copy of ShortCut to .lnk…

在存在MS10-046漏洞的机器上，只需浏览这些lnk，Explorer.exe就会将~WTR数字.Tmp加载起来。

2. 通过MS10-061漏洞传播

该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下，并利用WMI将其执行起来。

3. 通过共享文件夹传播

该病毒还会试图将自身拷贝到局域网共享文件夹下，并命名为类似DEFRAG（随机数字）.tmp的名称。

4. 通过MS08-067漏洞传播

该病毒还会利用MS08-067漏洞传播。

病毒的主要功能以及大致流程：

当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后，Explorer.exe会加载~WTR数字.Tmp，然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时，病毒并没有通过普通的LoadLibrary函数加载，为了隐藏自身模块，同时为了达到不释放文件来加载病毒模块的目的，它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数，然后，它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr，然后以此为参数调用LoadLibrary，正常情况下，该调用会失败因为该文件并不存在，但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名，则会重定向到其他位置，比如另一个文件或者通常情况下是一块已经被病毒解密过的内存，这样，外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。

之后病毒会运行lsass.exe并修改程序的内存，然后释放如下文件：

%System%\drivers\mrxcls.sys

%System%\drivers\mrxnet.sys

%Windir%\inf\oem6C.PNF

%Windir%\inf\oem7A.PNF

%Windir%\inf\mdmcpq3.PNF

%Windir%\inf\mdmeric3.PNF

并在可移动存储上创建~WTR数字.Tmp和Copy of ShortCut to .lnk等文件。

Mrxcls.sys 和Mrxnet.sys具有合法的数字签名。

由于调用了lsass.exe这个系统进程做坏事，因此在中毒机器内会看到至少3个lsass.exe进程。（有两个是病毒启动的）

然后病毒会将自身注入到services.exe，在services中，病毒会通过查找SOFTWARE\SIEMENS\STEP7，SOFTWARE\SIEMENS\WinCC\Setup等注册表项检测西门子软件。病毒还能禁用Windows Defender等杀毒软件的保护。

病毒具有后门功能： 病毒会通过80端口连接远程服务器并发送请求http://[SERVER_ADDRESS]/index.php?data=[DATA]

其中服务器地址为：

www.****

www.*****

发送的数据包括：

1、Windows版本信息

2、计算机名

3、网络组名称

4、是否安装了工控软件

5、网卡的IP地址

发送完毕数据后，病毒会等待服务器响应，之后病毒可以根据服务器的要求执行以下功能：

1、读文件

2、写文件

3、删除文件

4、创建进程

5、注入dll

6、加载dll并运行

7、更新配置信息

8、下载文件，解密并执行

Rootkit隐藏功能：

病毒具有良好的隐藏性。病毒会查找totalcmd.exe，wincmd.exe等进程，挂钩kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW，Ntdll的NtQueryDirectoryFile，ZwQueryDirectoryFile函数隐藏其释放的.lnk或者~WTR（数字）.tmp文件。使得通过此类文件查找工具也无法找到他们。

针对工控软件(SCADA)的攻击功能：

病毒会利用SieMens Simatic Wincc的默认密码安全绕过漏洞利用默认的用户名和密码并利用已经编写好的SQL语句读取数据库数据。漏洞详情：****

尝试从数据库中读取特定数据：

GracS\cc_tag.sav

GracS\cc_alg.sav

GracS\db_log.sav

GracS\cc_tlg7.sav

*.S7P

*.MCP

*.LDF

工控系统都包括一个可编程控制器，该控制器实际相当于一个小型的计算机系统，通过配置该系统，可以向控制器中写入新的控制逻辑，从而完成不同的功能。该控制器可以通过专门的软件连接到计算机，从计算机中可以编写工控程序并下载到工控系统中运行。

工控软件要进行控制和编程，需要通过西门子Step 7软件来进行控制，该软件要通过使用内部的s7otbxdx.dll同设备进行通信，病毒通过替换此dll来截获所有与设备间的访问。病毒自身导出了所有原始s7dotbxdx.dll的功能，然后病毒将原始的s7otbxdx.dll重命名为s7otbxsx.dll，然后将自身命名为s7otbxdx.dll,病毒内部再加载s7otbxsx.dll，这样，如果是病毒感兴趣的访问，则病毒可以替换设备传入或者传出的结果，对于其他访问，病毒直接重定向到原始的s7otbxdx.dll。

当向工控系统中写入控制代码时，病毒会修改写入的控制代码，从而感染工控系统。

实际上，在内部，病毒一共hook了16个函数，分别是：

s7_event

s7ag_bub_cycl_read_create

s7ag_bub_read_var

s7ag_bub_write_var

s7ag_link_in

s7ag_read_szl

s7ag_test

s7blk_delete

s7blk_findfirst

s7blk_findnext

s7blk_read

s7blk_write

s7db_close

s7db_open

s7ag_bub_read_var_seg

s7ag_bub_write_var_seg

通过对这些函数的挂钩从而可以任意修改从计算机中写入到工控软件中的代码。当向工控软件正常写入程序时，病毒会感染写入的代码，将自身写入工控软件代码块的头部并修改工控软件的控制结构，使其入口点指向病毒代码。

另外病毒会监控所有与工控软件之间的读写通信，如果发现访问到被感染的块，则会修改返回结果隐藏块中的病毒代码，从而使用户不会发现。

Q3：copy of shortcut to是什么病毒怎么查杀

超级工厂病毒。楼主下载运行360系统急救箱勾选强力查杀即可解决！

Q4：超级工厂（stuxnet病毒） 火焰病毒 暴雷漏洞 各是什么东西？

Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。

Q5：超级工厂的特点

超级工厂病毒最大的特点为：打破恶意程序只攻击用户电脑的“惯例”，将攻击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受“超级工厂病毒”-Stuxnet入侵，不但会使用户电脑变成任由其摆布的“肉鸡”，严重影响到用户的日常生活，而且还会引发“多米诺骨牌效应”，导致与受害用户联网的人群遭受同样攻击。

Q6：超级工厂病毒如何植入电脑

通过USB接口。

凡是感染了病毒的存储设备连接到USB接口上，病毒将自动复制侵入主机。

关于超级工厂病毒和超级工厂病毒病毒专杀的介绍到此就结束了，不知道你从中找到你需要的信息了吗？如果你还想了解更多这方面的信息，记得收藏关注本站。

查看更多关于超级工厂病毒的详细内容...