赛门铁克的专家们之所以能发现这些信息，是由于该蠕虫的一个奇怪的特征。每当感染一台新的计算机，该蠕虫就就会将该主机的相关信息保存在其自身的日志中。这导致了，通过分析这些蠕虫样本内的信息，我们能够回溯出蠕虫传播的完整路径。根据Stuxnet的日志文件，Foolad Technic公司是第一位受害者。 它于6月23日的那个周二凌晨4点40分感染了Stuxnet蠕虫病毒。一星期之后，其他公司也遭到了攻击。

接下来的那个周一，约5000名示威者默默走上德黑兰的街头，前往Qoba清真寺纪念大选抗议游行中的受害者。当晚约11点20分，Stuxnet就攻击了第二家公司——Behpajooh的电脑。

为什么Behpajooh会成为目标公司？原因显而易见。Behpajooh是伊斯法罕的一家工程公司，是伊朗的新铀气转换工厂，它将磨碎的铀矿转化为铀气为纳坦兹核工厂提供浓缩铀原料，它还是伊朗核技术中心的所在地，因此被认为是伊朗核武器发展项目的基地。Behpajooh曾因与伊朗非法采购活动有染而在美国联邦法庭文件中备案。

Behpajooh正在安装并编程工业控制和包括西门子在内的自动化系统。该公司的网址没提到纳坦兹核工厂，但确实提到了在伊斯法罕的工厂里安装西门子S7-400 PLC、Step 7和WinCC软件及Profibus通信模块。它们显然和受到Stuxnet攻击的纳坦兹核工厂里的目标设备相一致。

在Behpajooh遇袭之后的第9天，也就是7月7日的早上5点，Stuxnet又袭击了Neda工业集团和Control Gostar Jahed公司的电脑并将它们记录在日志中。这两家公司都设计或安装工业控制系统。

Neda设计并安装控制系统、精密仪器、伊朗的石油和天然气工业的电子系统以及电厂、采矿和处理设施。2000年到2001年，该公司已为伊朗的几个气管安装了西门子S7 PLC，并在伊斯法罕钢厂安装了西门子S7系统。就像Behpajooh，Neda也因参与非法采购活动而上了监察黑名单，并因接收走私的微控制器和其他组件而在美国受到起诉。

就在Stuxnet攻击Neda两周后，一位该公司的控制工程师在7月22日举行的西门子用户论坛上跳出来抱怨公司职工的机器问题。这名工程师曾借用户Behrooz之名发布通知，表明公司的所有PC都遇到了相同的问题，即西门子Step7.DLL文件持续发送错误的信息。他怀疑是病毒通过闪存驱动器感染电脑引发了这一问题。

他写道：当他使用DVD或CD将中毒系统的文件转移到没中毒的正常电脑上时，并没有发生异常。但当他使用闪存驱动器来转移文件时，新的PC也感染上了病毒并呈现出和中毒电脑一样的问题。当然，USB闪存驱动器是Stuxnet的主要传播手段。尽管Behrooz和他的同事一起扫描寻找病毒，却没发现机器中有任何恶意文件。这些讨论表明他们当时并没有解决这一问题。

我们不知道Stuxnet在感染Neda和其他公司的机器之后需要多久可以接近纳坦兹核工厂这一最终目标，但从6月到8月，纳坦兹正常工作的浓缩铀离心机开始变少。这仅仅是由新版Stuxnet引起的，还是旧版Stuxnet感染的滞后效应，我们无从得知。但同年8月，工厂工作的离心机是4592部，比6月减少了328部。截止到11月，工作的离心机继续减少，只剩3936部，短短5个月的时间就有984部离心机无法工作。更可怕的是，尽管新机器已经在安装，但目前没有一部接收铀气。

很明显，串联系统还是有问题，而技术人员却毫无头绪。Stuxnet正步步为营，向着它设计的最终目的进发。

Source：Wired