本周网络安全基本态势(11月30日-12月6日)
【字体:  
 
      本周互联网网络安全整体评价为中。恶意代码传播、网页篡改、网页挂马、高危漏洞爆发等事件是互联网用户遭遇的主要威胁。其中境内被木马控制的主机IP地址数目为3804个,与前一周相比持平略增;境内被僵尸网络控制的主机IP地址数目为17893个,与前一周相比下降6%;境内被篡改政府网站数量为100个,与前一周相比增长144%,其占境内被篡改网站总数的比例上升为19.2%。近期,CNCERT接到用户投诉网络仿冒(钓鱼)事件较多,CNCERT选择当中一些危害较大的事件进行处置。上周,CNCERT打掉一个仿冒skype且存活较长时间的网站域名(tomskypea.com)。年底节庆日较为集中,CNCERT提醒用户注意利用“中奖”、“送礼品”进行网络钓鱼的事件。
   
  一、本周活跃恶意域名

wgwggg.cn

mm.aa88567.cn

107jj.cn

w.sog0u.co.cc

aa2233.2288.org

3god.net

iggole.cn

dddd5345.6600.org

mbr3.cn

252a.cn

  
  注:根据华为、奇虎、知道创宇、启明星辰等企业报送的网页“挂马”信息整理。

  上述域名是危害较为严重的网页挂马源。针对上周恶意域名中较为活跃的“318x.com”和“3b3.org”,CNCERT已协调美国国家级CERT组织——US-CERT协助予以清除。

  二、本周被“挂马”的重要网站

站点名称

挂马页面链接

华东某省重点新闻门户

http://fcasp.zj**.com.cn/zjfc/asp_gg_15_5.asp?qishu=2009034

东北某省重点新闻门户

http://dq.h**.net/news/dq/20080928/894.html

山东省某市新闻门户

http://baby.e2*.cn/zj_show.jsp?id=16

中原某省重点新闻门户

http://houseapp.da**.cn/hudong/qingbao.asp?Page=9

某大型IT门户网站

http://hz.bear****.com.cn/shop/server.asp?ShopID=9

某市福彩中心门户

http://www.bw**.net/search/num_7-36.asp?qitime=2005-045

某财经类资讯门户

http://www.cn****.com/Sbzl/Default.aspx

 
  本周,CNCERT重点关注财经、IT、社会综合类门户网站的挂马情况,这些网站访问量较大,易成为黑客挂马攻击的目标。

  三、本周活跃恶意代码
 

名称

特点

Trojan.DL.Giframe.a

这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。

Worm.Win32.MS08-067.c

这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。

Win32.Loader.da

这是一种被病毒修改的系统正常文件,被病毒修改后的这些文件在加载时,会先运行一小段病毒代码,然后才会执行到文件原有的功能,属于感染型病毒。


  注:根据瑞星等企业报送的恶意代码信息整理。

  当前较为流行的恶意代码主要类型为木马、木马下载器及蠕虫,并且同一系列不同变种之间存在共生或寄生关系,一台计算机同时感染多种恶意代码的情况也比较常见。CNCERT提醒互联网用户感染恶意代码后应及时清除,加装安全防护措施,不要让您的计算机充当恶意代码滋生传播的“帮凶”。

  四、本周重要漏洞
 
  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。

  (一)Adobe Illustrator封装Postscript文件远程缓冲区溢出漏洞

  Adobe Illustrator是一款adobe公司最新出品的矢量图编辑软件。Adobe Illustrator处理封装Postscript (.eps)文件存在缓冲区溢出漏洞,远程攻击者可以利用漏洞以应用程序权限执行任意指令。

  (二)FreeBSD execl()函数本地权限提升漏洞

  FreeBSD就是一种运行在Intel平台上、可以自由使用的开放源码Unix类系统。正常情况下FreeBSD的运行时链接编辑器(rtld)不允许在执行ping或su等setugid二进制程序时设置类似于LD_PRELOAD的危险环境变量,但本地用户可以通过execl()函数诱骗rtld接受setugid二进制程序的LD变量,导致以root用户权限执行任意代码。

  (三)Linux Kernel drivers/char/n_tty.c驱动空指针引用拒绝服务漏洞

  Linux Kernel是开放源码操作系统Linux所使用的内核。Linux Kernel所使用的drivers/char/n_tty.c驱动中存在空指针引用漏洞,本地攻击者可以利用漏洞使系统崩溃。

  (四)Linux Kernel net/mac80211/子系统远程拒绝服务漏洞

  Linux Kernel是开放源码操作系统Linux所使用的内核。远程攻击者可以通过向Linux Kernel的mac80211子系统发送特制Delete Block ACK(DELBA)报文触发竞争条件等错误,以导致拒绝服务攻击。

  (五)多个厂商无客户端SSL VPN产品绕过同源策略漏洞

  无客户端SSL VPN允许用户无需安装传统的VPN客户端就可以基于浏览器访问内部和外部资源。攻击者可能利用该漏洞违反同源策略来劫持用户的VPN会话和依赖于Cookie识别会话的Web VPN所访问的所有其他会话。请注意如果允许VPN服务器连接到任意Internet站点,则Internet上任意站点都可以利用这个漏洞。目前厂商还没有提供补丁或者升级程序,CNCERT建议使用此软件的用户随时关注厂商的主页以获取最新版本。

  小结:本周CNVD所整理的漏洞信息中,第2条和第4条漏洞信息已有相应的安全补丁,广大用户可以自行到相应网站上下载更新补丁,避免受漏洞的影响;第1条、第3条和第5条软件漏洞厂商尚未提供相应的升级程序或补丁,建议用户随时关注厂商的主页以获取软件的最新版本,避免遭受黑客攻击。

  注:CNVD是CNCERT联合国内近20家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。
  
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804