本周互联网网络安全整体评价为中。恶意代码传播、网页篡改、网页挂马、高危漏洞爆发等事件是互联网用户遭遇的主要威胁。其中境内被木马控制的主机IP地址数目为4237个，与前一周相比持平略降；境内被僵尸网络控制的主机IP地址数目为13226个，与前一周相比下降17%；境内被篡改政府网站数量为91个，与前一周相比下降27%，其占境内被篡改网站总数的比例也下降为12.4%。
 
　　一、本周活跃恶意域名

　　注：根据华为、奇虎、知道创宇、启明星辰等企业报送的网页挂马信息整理。

　　本周监测发现的活跃恶意域名与上周有较多重复，且多为动态域名，如：567890.ss.la、8881.ss.la、ppa.uub.cc等。此外，CNCERT还发现，一个被挂马网站中常常被嵌入或跳转多个相同恶意域名链接，如：c.8883.ss.la与dsfdfe44.8866.org、7o8.net与z360.net等同时出现在多个被挂马网站，表明黑客注册域名行为与对网页挂马之间存在较强的活动关联性。

　　二、本周被挂马的重要网站　　

　　CNCERT本周重点关注某行政区域内政府网站被密集挂马的情况，其中，浙江省丽水市某县五个政府部门网站、浙江省某小商品城市三个政府部门网站、江苏省南通市四个政府部门网站、江苏省淮安市某区十四个政府部门网站和辽宁省葫芦岛市九个政府部门网站被挂马。政府网站密集挂马呈现以下几个特点：1）黑客选择政府网站密集挂马的地区主要是信息化建设较好、政府信息化公开程度较高的地区；2）同一行政区域内政府网站被密集挂马原因多为相关部门网站使用同一架构或选择同一站点接入，因网站存在漏洞而被批量挂马。各级政府部门在电子政务信息化过程中，考虑统一建设、统一接入的便利化同时也需进一步重视网络安全问题。

　　三、本周活跃恶意代码
 

名称	特点
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。
Hack.Exploit.CVE-2009-1539.a	该病毒利用微软CVE-2009-1539（MS09-028）漏洞，使用精心构建的QuickTime文件（畸形并带有shellcode代码）进行破坏。当用户使用Windows Media Player 9打开恶意的QuickTime文件或浏览含有恶意QuickTime文件的网页（Windows Media Player AX控件）时，都可能被攻击。
Worm.Win32.MS08-067.c	这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，通过局域网传播。
win32.troj.fakefoldert	该蠕虫主要通过介质传播。通过创建当前目录下文件夹名的EXE文件，运行后主动感染其他PE文件。
Win32.troj.sgstartpage.28672	该病毒主要通过网页“挂马”传播。通过修改浏览器主页，刷流量。

　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　可以看到，当前较为流行的恶意代码的主要特征有：1）利用操作系统及应用软件漏洞广泛传播；2）加强通过介质和局域网内的传播；3）修改浏览器页面，为指定网站刷流量。CNCERT提醒互联网用户一方面要加强系统漏洞修补加固，另一方面要加装安全防护软件。

　　四、本周重要漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。

　　（一）Adobe Reader/Acrobat 'newplayer()' JavaScript方法远程代码执行漏洞

　　Adobe Reader/Acrobat是一款处理PDF文件的流行软件，其'newplayer()' JavaScript方法存在远程代码执行漏洞。攻击者可利用该漏洞诱使用户打开一个恶意构造的PDF文件，执行恶意代码或使受影响的PDF查看器崩溃。该漏洞为0day漏洞，建议广大用户临时关闭Adobe Reader/Acrobat中JavaScript功能。

　　（二）Firefox存在多个内存破坏漏洞

　　 Firefox是一款流行的互联网浏览器软件，其所使用的浏览器引擎、JavaScript引擎和liboggplay媒体库中存在多个内存破坏漏洞。当用户打开攻击者构造的恶意网页或媒体文件链接时，可能导致浏览器崩溃或者执行任意代码。目前产品厂商不完全提供相关的补丁，建议广大用户关注自身Firefox的系统提供商网站补丁信息。

　　（三）Oracle E-Business套件多个认证绕过及代码注入漏洞

　　Oracle E-Business Suite是一款电子商务套件，其认证功能存在HTML代码注入等漏洞。攻击者利用该漏洞绕过认证执行特定操作，或者利用代码注入漏洞在访问的客户端浏览器上执行任意脚本代码。

　　（四）Winamp JPEG和PNG整数溢出漏洞

　　Winamp是一款流行的媒体播放软件，其所包含的"jpeg.w5s"和"png.w5s"过滤器处理媒体文件中的畸形JPEG或PNG数据时存在整数溢出漏洞，攻击者通过构建恶意MP3诱使用户解析，可导致以应用程序权限执行任意指令。

　　（五）HP OpenView Storage Data Protector备份客户端服务栈溢出漏洞

　　HP OpenView Storage Data Protector是可扩展的数据管理解决方案，用于实现基于磁盘或磁带的高性能备份和恢复功能，其备份客户端服务守护程序存在栈溢出漏洞。远程攻击者可以通过提交恶意请求触发该溢出，导致以服务的权限执行任意代码。

　　（六）IBM DB2 9.5 FP5更新修复多个安全漏洞

　　 IBM DB2数据库的9.5 FP5更新修复了多个安全漏洞，这些漏洞允许本地或远程用户发起拒绝服务攻击、窃取敏感信息或者获得非法授权访问。

　　（七）Cisco WebEx WRF文件解析多个缓冲区溢出漏洞

　　Cisco WebEx WRF文件解析存在多个缓冲区溢出漏洞，可能导致WRF Player应用崩溃，或在某些情况下导致远程执行代码；如果要利用这个漏洞，用户必须要打开恶意的WRF文件。攻击者可通过直接向用户提供恶意的WRF文件（如通过e-mail）或诱骗用户访问恶意站点来实现。用户参加WebEx会议不会触发这个漏洞。

　　（八）Cisco ASA WebVPN书签功能绕过安全限制漏洞

　　Cisco ASA为管理员提供的无客户端SSL VPN会话用以访问公司资源的选项中可以通过向登录页面添加书签来自定义WebVPN portal页面，书签中的链接(URL)使用ROT13替换进行混淆，将ASCII字符转换为16进制，存在安全限制漏洞。拥有有效账号但没有URL entry的用户可以使用ROT13加密URL，将ASCII字符转换为16进制并将这个字符串附加到Cisco VPN SSL URL就可以访问任意内部或外部资源。该漏洞为0day漏洞。

　　小结：本周CNVD所整理的安全漏洞信息中，最大特征是普通用户广泛使用的应用软件如PDF、MP3等出现重大安全漏洞，可能导致大规模恶意代码传播。其中，第1条和第8条漏洞均为0day漏洞，互联网上已出现攻击代码，厂商尚未提供补丁程序，建议用户随时关注厂商主页以获取补丁程序；特别是第1条漏洞属于高危漏洞，建议用户临时关闭Adobe Reader/Acrobat中JavaScript功能防止被攻击。其它漏洞信息已有相应的安全补丁，用户可自行到相应网站上下载更新补丁，避免受漏洞的影响。

　　注：CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台，旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(来源：国家互联网应急中心)