本周互联网网络安全整体评价为中。依据CNCERT监测结果，境内被木马控制的主机IP地址数目为11274个，与前一周相比大幅增长262%；境内被僵尸网络控制的主机IP地址数目为16534个，与前一周相比增长20%；境内被篡改政府网站数量为35个，与前一周相比下降19%，其占境内被篡改网站总数的比例则增长为7.4%。
 
　　一、本周活跃恶意域名

　　注：根据华为、奇虎、知道创宇、启明星辰、安天等企业报送的网页挂马信息整理。

　　在上述监测发现的恶意域名中，8884.ss.la、a.ll8cc.cn、wgwggg.cn、a.ppmmoo.cn已经连续数周处于活跃状态，构成较严重的安全威胁。本周新增的hhhh258.8866.org、ersyrt5h.7766.org等属于动态域名，其网站服务器托管于虚拟主机上，近期被黑客利用作为网页木马集成页面 （  网页木马集成页面是指集成利用多个系统和软件漏洞进行入侵的网页木马页面，一般通过各种网马生成器自动生成），侵害了成百上千的网站。此外，CNCERT发现黑客注册用于挂马的恶意域名往往采取批量命名注册方式，如：xaa（xab、xac）.ss.la，类似地还有8884（8883\8882\8881）.ss.la。

　　二、本周被挂马的重要网站

　　网页挂马作为病毒、木马、僵尸等恶意代码的主要传播途径，一直是CNCERT研究和跟踪的重点。黑客挂马的常见步骤是：黑客利用网站所存在的SQL注入、跨站脚本等安全漏洞，在网站页面中嵌入恶意跳转链接。黑客通过精心构造恶意跳转链接，再嵌入多个网页木马集成页面，触发用户主机存在的系统和软件漏洞，从而使得恶意代码程序可以自动下载至用户主机上运行。对应不同的系统和软件漏洞，黑客使用不同的恶意代码程序，主要类型包括：流行病毒、盗号木马、木马下载器等。一旦中了网页木马，用户主机可被黑客远程控制，用户敏感信息将被盗取，有时也会导致主机崩溃。

　　本周，CNCERT通过一个案例还原黑客进行网页挂马的步骤。2009年12月29日上午10时，CNCERT监测发现北京大学某研究所网站(http://www.if*.pku.edu.cn/)被黑客植入恶意代码。经分析，该研究所网站为主页挂马，用户访问网站后台将自动链接访问恶意域名a.ll8cc.cn，之后跳转至恶意域名8884.ss.la下挂的多个网页木马集成页面。通过集成页面，设置多个触发系统和软件漏洞的条件，触发成功后通过读取下载恶意代码文件列表，下载位于fuck.ss.la、c.mmzfc.cn、1.wgwggg.cn上的多种恶意代码程序。

　　由此可见，防范网页挂马，用户需加强以下几个方面的工作：1）及时对操作系统、应用软件进行更新升级，做好系统加固修补工作；2）安装安全防护软件并及时更新升级软件库，以免受到恶意代码的侵害；3）注意上网安全，不要打开来源不明的网址链接，不要随意下载来源不明的邮件附件。

　　三、本周活跃恶意代码

 

名称	特点
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。
Worm.Win32.MS08-067.c	这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，通过局域网传播。
Trojan.Win32.BHO.fwb	该病毒通过下载器通过互联网下载或捆绑到其他软件中的方法进行传播。病毒运行后，会将病毒体以文件形式释放动态库文件到系统目录下，并将该动态库文件注册为IE的BHO组件；当用户打开IE时候，病毒就会被激活，并且会打开病毒指定的页面，进行流量点击或者下载病毒作者的软件。
win32.troj.fakefoldert	该病毒通过介质进行传播，可创建当前目录下文件夹名的EXE文件，运行后则主动感染其他PE文件。

　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　可以看到，当前较为流行的恶意代码的主要特征有：1）利用木马下载器进行传播；2）利用操作系统及应用软件漏洞广泛传播，如：MS08-067；3）加强通过介质和局域网内的传播。CNCERT提醒互联网用户一方面要加强系统漏洞修补加固，另一方面要加装安全防护软件。

　　四、本周重要漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。

　　（一）Sun Java系统目录服务器远程拒绝服务和非授权访问漏洞   
    
　　Sun Java系统目录服务器是Java企业系统的一个组件，为企业管理大量用户信息提供用户管理基础架构。目前Sun Java目录服务器企业版6.x所捆绑的目录代理服务器中存在多个安全漏洞，可能允许远程非特权用户在某些环境下以其他客户端的权限执行客户端操作或使用特制的伪造报文导致服务器停止响应新的客户端连接。

       （二）MIT Kerberos KDC跨域Referral空指针引用拒绝服务漏洞

　　Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。krb5的KDC跨域referral处理代码中存在空指针引用漏洞，未经认证的远程攻击者可以通过发送特制请求导致KDC崩溃。

       （三）Ruby on Rails消息Digest验证非固定时间算法漏洞

　　Ruby on Rails是一个构建在Ruby语言之上，可以使开发、部署和维护 web 应用程序变得简单的框架。Ruby on Rails用于验证cookie store中消息digest的代码中存在漏洞。由于使用了非固定的时间算法来验证时间签名，攻击者可以判断伪造的签名在何时为部分正确，反复执行这个过程就可以成功的伪造出digest。

　　（四）PostgreSQL存在多个安全漏洞

　　PostgreSQL是一款对象关系型数据库系统，支持相关SQL标准及子集。目前PostgreSQL存在索引功能权限提升漏洞和CA SSL证书验证漏洞。允许通过认证的远程攻击者通过带有特制索引功能的表格获得权限提升，或伪造成为任意基于SSL的PostgreSQL服务器执行中间人攻击，或绕过预期的客户端-主机名限制。

　　（五）BigAnt IM Server 'USV'请求缓冲区溢出漏洞

　　BigAnt IM Server是BigAnt Messenger企业即时通讯平台所使用的消息服务器。BigAnt IM服务器所使用的AntServer模块在处理TCP请求时存在栈溢出漏洞，远程攻击者可以通过向TCP 6660端口发送超长的USV请求触发这个溢出，最终导致在受影响的主机上执行任意代码。目前厂商没有提供相应解决方案，同时在互联网上已经存在零日代码，请广大用户注意安全防护。

　　（六）Microsoft IIS畸形文件扩展名绕过安全限制漏洞

　　微软Internet 信息服务 (IIS) 存在严重的安全漏洞，即IIS服务器会错误的执行带有多个扩展名的文件中所包含的ASP代码。例如，“malicious.asp;.jpg”被错误执行成ASP文件。由于很多文件上传程序仅检查文件扩展名的最后部分，这可能导致攻击者绕过安全保护机制向服务器上传恶意可执行文件。目前微软尚未提供解决方案，建议广大用户可通过移除上传文件目录中的可执行权限来避免系统受到漏洞影响。

　　小结：本周CNVD所整理的漏洞信息中，第5条和第6条漏洞厂商尚未提供相应的解决方案，目前针对这两个漏洞的攻击行为已出现，提醒使用这两款产品的用户注意采取安全防护措施。其它漏洞信息已有相应的安全补丁，用户可自行到相应网站上下载更新补丁，避免受漏洞的影响。

　　注：CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台，旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。