RSA2013：赛门铁克解密Stuxnet最新发现

2月28日消息，RSA2013(美国)大会，赛门铁克的新发现表明曾经攻击过伊朗核设施的超级蠕虫Stuxnet的存在时间远早于研究者原来的估计。赛门铁克在此次RSA大会上的证据表明一个较早的破坏力较小的被称为Stuxnet 0.5的恶意软件样本。这个样本早在2007年11月就已经出现，比后来广泛传播的主流版本Stuxnet 1.0(被视为以色列-美国网络间谍破坏项目的结晶)早了三年。

此外，赛门铁克称，Stuxnet的命令和控制服务器至少在2005就已经存在，说明Stuxnet 0.5的开发可能始于那个时候。这个版本的Stuxnet为很多人所熟知，它曾攻击过伊朗一所核设施的离心机，当时导致离心机突然加速，赛门铁克产品和服务小组主席Francis deSouza在会上说。

而且，它追求的是SCADA软件和硬件供应商西门子所建立的基于Windows的可编程逻辑控制器。但是，Stuxnet 0.5与那个控制离心机阀门的恶意软件版本不一样，deSouza说。

周二发布的白皮书透露，“Stuxnet 0.5 包含一种替代型攻击策略，这种策略可以关闭伊朗铀浓缩设备的阀门，而这可能严重损害离心机以及铀浓缩系统，”。赛门铁克认为Stuxnet 0.5是“遗失的环节”。尽管如此，它的破坏力还是不及Stuxnet 1.0，因为后者依靠的传播向量更少，而且不需要利用任何零日漏洞。

白皮书称，“Stuxnet 0.5 复制的唯一办法是通过赛门铁克Step 7 项目文件的感染，Stuxnet 0.5和后面的1.x版本不同，它不能利用任何微软漏洞。”

赛门铁克还把Flamer 平台与Stuxnet 0.5联系起来。Flamer也会复制Flame病毒。据赛门铁克透露，Stuxnet感染在2012年6月停止。“这次调查发现的另一个事情就是改装型恶意软件肆掠的第一个十年已经接近尾声。”deSouza说。