Duqu蠕蟲在潛伏

文/鄭先偉

Duqu蠕蟲在潛伏

文/鄭先偉

竊取特定文件的Duqu蠕蟲

11月教育網整體運行正常，未發生重大的安全事件。該月的安全投訴事件基本與前幾個月持平，網頁掛馬數量繼續減少。

11月需要關注的病毒是Duqu蠕蟲。Symantec公司最先宣布發現這個病毒，并為其命名為Duqu。

Duqu是一種類似于Stuxnet蠕蟲（攻擊過伊朗核電站的蠕蟲）的木馬病毒程序，它感染系統后會竊取某些特定格式的文件（如工業設計圖紙），同時還會記錄擊鍵，并將這些竊取的信息加密偽裝成圖片文件發還給攻擊者，Duqu木馬病毒會利用多種系統漏洞進行攻擊，其中包括一個Windows內核中的0day漏洞。

目前這種木馬還不會主動傳播，僅依靠社會工程學的方式進行傳播，在國外已經有多家公司被發現感染這種木馬，不過在國內暫時還未傳出有被感染的報道。由于病毒本身還處于靜默狀態，所以實際感染的情況還需要進一步關注，用戶應該加強防范。

2011年10月～2011年11月教育網安全投訴事件統計

近期新增嚴重漏洞評述

微軟11月份發布4個安全公告，其中1個為嚴重等級，2個為重要等級，1個為中等，其中，Windows TCP/IP引用計數溢出漏洞(MS11-083)為嚴重等級，攻擊者可通過發送一系列特制UDP報文到系統已關閉的端口來利用該漏洞，成功利用該漏洞攻擊者可以控制受影響系統。用戶應該盡快更新相應的補丁程序。

除微軟公司外，其他一些第三方軟件公司也發布了最新版本的軟件以修補舊版本中的安全漏洞，如Mozilla公司的Firefox瀏覽器、Google公司的Chrome瀏覽器、Adobe公司的PDF Reader／Acrobat和Flash Player軟件等，用戶應該使用軟件自帶的更新功能盡快更新到最新版本。

Microsoft Windows內核Word文件處理遠程代碼執行漏洞（0day）

1. 影響系統：Windows XP，Windows 2003，Windows 2008，Windows 7。

2. 漏洞信息：Windows內核存在一個安全問題，允許攻擊者以內核上下文執行任意代碼。攻擊者可以引誘用戶打開包含惡意攻擊代碼的Word文檔。當這個Word文件打開時，惡意代碼會被執行。

3. 漏洞危害：攻擊者可以通過網頁、電子郵件附件或者社會工程學的方式引誘用戶打開包含惡意攻擊程序的Word文檔。通過此漏洞，攻擊者可以在用戶系統上執行任意命令。目前Duqu蠕蟲正在利用該漏洞。

4. 解決辦法：目前微軟還未針對該漏洞發布補丁程序，用戶應隨時關注廠商的動態：http://www.microsoft.com/。

在沒有補丁程序前，用戶應該謹慎打開那些來歷不明的Word文檔，尤其是存在于電子郵件附件中的文檔。

ISC BIND 9遞歸查詢遠程拒絕服務漏洞（0day）

1. 影響系統：ISC BIND 9所有版本。

2. 漏洞信息：ISC的BIND程序是目前互聯網上使用最為廣泛的DNS服務程序。最近BIND軟件被爆出存在一個拒絕服務攻擊漏洞，在某種特定情況下使用 BIND 9 軟件的遞歸查詢服務器會緩存一個無效域名解析記錄，當客戶端對這一記錄查詢時，遞歸查詢服務器會在緩存中查找到這一記錄并應答。由于程序存在Bug，之后的服務進程會發生崩潰，造成服務中斷。

3. 漏洞危害：這個漏洞影響所有版本的BIND9軟件，不過只在服務器提供遞歸查詢服務時才可能被激發。攻擊者可以偽造特定的DNS查詢請求來利用該漏洞，受漏洞影響的BIND9遞歸服務器應答時會在日志中記錄query.c錯誤信息：“INSIST(!dns_rdataset_isassociated(sigrdatase t))”之后發生崩潰，造成服務中斷。由于這個漏洞屬于程序Bug，目前具體的原因還不清晰，因此未發現明顯的攻擊行為。

4. 解決辦法：目前廠商已經針對這個漏洞發布安全通告，但是還沒有提供補丁或者升級程序。我們建議管理員隨時關注廠商的主頁以獲取最新版本：http://www.isc.org/。

（作者單位為中國教育和科研計算機網應急響應組）

安全提示

鑒于近期安全風險，D N S管理員應該：

1. 隨時關注軟件廠商的動態，有了補丁或新版本應該及時更新；

2. 如果條件允許，主域名解析服務和遞歸查詢服務應該分別使用單獨的服務器；

3. 對于提供遞歸查詢服務的域名服務器，應該將遞歸解析的服務范圍限制在特定的IP地址段內。