Windows DNS 0day漏洞再次被蠕虫利用,这次受影响最大的是服务器,个人消费者受影响的可能性较小.据说微软要到5月8日才会发布正式补丁,在这之前,不知有多少企业服务器会被黑客蹂躏了.上周,有报道称黑客发现并利用Windows 2000,Windows Server 2003系统的DNS服务漏洞发起0day攻击,微软已经着手开发补丁,在微软发布正式的补丁程序前,启用DNS服务的系统将处于危急之中.该病毒正是利 用windows DNS服务器的PRC漏洞进行溢出攻击,攻击者可以成功控制存在此漏洞的windows服务器,利用此漏洞下载bot程序,使其成为botnet(僵尸网 络)的一个节点.

微软公司表示，Windows XP和Windows Vista不会受到这一DNS缺陷的影响，Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2系统易受攻击。

评估此漏洞可能会对企业、科研院校、政府机构的DNS服务器产生严重影响，对于DNS服务的漏洞，微软官方补丁尚未发布，可以通过修改注册 表禁止DNS服务的RPC功能，以降低安全风险。已经有黑客通过DNS溢出成功入侵一定数量的企业服务器，黑客成功入侵后， 在该服务器种植了更多的木马后门程序。

在微软官方发布补丁程序之前，建议用户修改注册表，以降低DNS服务RPC漏洞的风险：
在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters下创建一 个名为"RpcProtocol"的DWORD值，并设定数值为4，然后重启DNS服务。另外，若非必要，强烈建议网管禁用DNS服务，并禁止445端口 的TCP与UDP连接。以及对1024，1025端口的未明访问。

以下是金山截获的蠕虫病毒Vanbot的详细分析报告：

病毒名：Win32.Hack.VanBot.bx.199680（bot为机器人程序）

这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播,
并开放一个后门端口,接受黑客的控制指令.

1:拷贝病毒体
病毒运行后,会把自己拷贝到系统目录下
%system%mdnex.exe
之后病毒体会自删除

2:添加自启动项
病毒会添加自启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Microsoft DNSx = "%system%mdnex.exe"
使自己能随Windows启动.

3:连接IRC接受命令
病毒会打开一个随机端口,并连接以下3个IRC
is.wayne.brady.gonna.have.to.choke******.us
symantec.has.sand.in.its.******.xxx
x.*****ewaffles.us
接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.

4:病毒传播
病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和
远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出,
并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载
http://www.******.com/radi.exe到C:radi.exe上,并运行此文件.
但病毒体不会向此IP段发送数据包:

192.168.*.*
10.*.*.*
111.*.*.*
15.*.*.*
16.*.*.*
101.*.*.*
110.*.*.*
112.*.*.*
170.65.*.*
172.*.*.*


该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统:
Windows 2000 Server Service Pack 4
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2

-----------------------------------
附加:
IRC地址
is.wayne.brady.gonna.have.to.chokeabitch.us
symantec.has.sand.in.its.vagina.xxx
x.rofflewaffles.us

病毒更新地址,不过已经连接不上了
h**p://www.tgiweb.com/radi.exe