文/鄭先偉

Duqu蠕蟲在潛伏

文/鄭先偉

竊取特定文件的Duqu蠕蟲

11月教育網(wǎng)整體運行正常，未發(fā)生重大的安全事件。該月的安全投訴事件基本與前幾個月持平，網(wǎng)頁掛馬數(shù)量繼續(xù)減少。

11月需要關(guān)注的病毒是Duqu蠕蟲。Symantec公司最先宣布發(fā)現(xiàn)這個病毒，并為其命名為Duqu。

Duqu是一種類似于Stuxnet蠕蟲（攻擊過伊朗核電站的蠕蟲）的木馬病毒程序，它感染系統(tǒng)后會竊取某些特定格式的文件（如工業(yè)設(shè)計圖紙），同時還會記錄擊鍵，并將這些竊取的信息加密偽裝成圖片文件發(fā)還給攻擊者，Duqu木馬病毒會利用多種系統(tǒng)漏洞進(jìn)行攻擊，其中包括一個Windows內(nèi)核中的0day漏洞。

目前這種木馬還不會主動傳播，僅依靠社會工程學(xué)的方式進(jìn)行傳播，在國外已經(jīng)有多家公司被發(fā)現(xiàn)感染這種木馬，不過在國內(nèi)暫時還未傳出有被感染的報道。由于病毒本身還處于靜默狀態(tài)，所以實際感染的情況還需要進(jìn)一步關(guān)注，用戶應(yīng)該加強(qiáng)防范。

2011年10月～2011年11月教育網(wǎng)安全投訴事件統(tǒng)計

近期新增嚴(yán)重漏洞評述

微軟11月份發(fā)布4個安全公告，其中1個為嚴(yán)重等級，2個為重要等級，1個為中等，其中，Windows TCP/IP引用計數(shù)溢出漏洞(MS11-083)為嚴(yán)重等級，攻擊者可通過發(fā)送一系列特制UDP報文到系統(tǒng)已關(guān)閉的端口來利用該漏洞，成功利用該漏洞攻擊者可以控制受影響系統(tǒng)。用戶應(yīng)該盡快更新相應(yīng)的補丁程序。

除微軟公司外，其他一些第三方軟件公司也發(fā)布了最新版本的軟件以修補舊版本中的安全漏洞，如Mozilla公司的Firefox瀏覽器、Google公司的Chrome瀏覽器、Adobe公司的PDF Reader／Acrobat和Flash Player軟件等，用戶應(yīng)該使用軟件自帶的更新功能盡快更新到最新版本。

Microsoft Windows內(nèi)核Word文件處理遠(yuǎn)程代碼執(zhí)行漏洞（0day）

1. 影響系統(tǒng)：Windows XP，Windows 2003，Windows 2008，Windows 7。

2. 漏洞信息：Windows內(nèi)核存在一個安全問題，允許攻擊者以內(nèi)核上下文執(zhí)行任意代碼。攻擊者可以引誘用戶打開包含惡意攻擊代碼的Word文檔。當(dāng)這個Word文件打開時，惡意代碼會被執(zhí)行。

3. 漏洞危害：攻擊者可以通過網(wǎng)頁、電子郵件附件或者社會工程學(xué)的方式引誘用戶打開包含惡意攻擊程序的Word文檔。通過此漏洞，攻擊者可以在用戶系統(tǒng)上執(zhí)行任意命令。目前Duqu蠕蟲正在利用該漏洞。

4. 解決辦法：目前微軟還未針對該漏洞發(fā)布補丁程序，用戶應(yīng)隨時關(guān)注廠商的動態(tài)：http://www.microsoft.com/。

在沒有補丁程序前，用戶應(yīng)該謹(jǐn)慎打開那些來歷不明的Word文檔，尤其是存在于電子郵件附件中的文檔。

ISC BIND 9遞歸查詢遠(yuǎn)程拒絕服務(wù)漏洞（0day）

1. 影響系統(tǒng)：ISC BIND 9所有版本。

2. 漏洞信息：ISC的BIND程序是目前互聯(lián)網(wǎng)上使用最為廣泛的DNS服務(wù)程序。最近BIND軟件被爆出存在一個拒絕服務(wù)攻擊漏洞，在某種特定情況下使用 BIND 9 軟件的遞歸查詢服務(wù)器會緩存一個無效域名解析記錄，當(dāng)客戶端對這一記錄查詢時，遞歸查詢服務(wù)器會在緩存中查找到這一記錄并應(yīng)答。由于程序存在Bug，之后的服務(wù)進(jìn)程會發(fā)生崩潰，造成服務(wù)中斷。

3. 漏洞危害：這個漏洞影響所有版本的BIND9軟件，不過只在服務(wù)器提供遞歸查詢服務(wù)時才可能被激發(fā)。攻擊者可以偽造特定的DNS查詢請求來利用該漏洞，受漏洞影響的BIND9遞歸服務(wù)器應(yīng)答時會在日志中記錄query.c錯誤信息：“INSIST(!dns_rdataset_isassociated(sigrdatase t))”之后發(fā)生崩潰，造成服務(wù)中斷。由于這個漏洞屬于程序Bug，目前具體的原因還不清晰，因此未發(fā)現(xiàn)明顯的攻擊行為。

4. 解決辦法：目前廠商已經(jīng)針對這個漏洞發(fā)布安全通告，但是還沒有提供補丁或者升級程序。我們建議管理員隨時關(guān)注廠商的主頁以獲取最新版本：http://www.isc.org/。

（作者單位為中國教育和科研計算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

安全提示

鑒于近期安全風(fēng)險，D N S管理員應(yīng)該：

1. 隨時關(guān)注軟件廠商的動態(tài)，有了補丁或新版本應(yīng)該及時更新；

2. 如果條件允許，主域名解析服務(wù)和遞歸查詢服務(wù)應(yīng)該分別使用單獨的服務(wù)器；

3. 對于提供遞歸查詢服務(wù)的域名服務(wù)器，應(yīng)該將遞歸解析的服務(wù)范圍限制在特定的IP地址段內(nèi)。