2月1日-2月7日网络安全基本态势
【字体:  
 
  本周互联网网络安全态势整体评价为中。我国互联网基础设施运行平稳,全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于网页篡改、黑客恶意代码传播活动以及软件高危漏洞。依据CNCERT抽样监测结果,境内被木马控制的主机IP地址数目为1.4万个,与前一周环比增长22%;境内被僵尸网络控制的主机IP地址数目为1.5万个,环比增长36%;境内被篡改政府网站数量为125个,继上周大幅下降后重新反弹到较高水平,说明网站安全问题不会在朝夕间解决,需要长期持续投入。

  一、本周重点网络安全事件

  本周CNCERT监测发现,境内被篡改网站数量较上周大幅增长,个别省部级政府网站位列其中。截至2月8日11时仍未恢复的被篡改的部分地市级以上(含地市级)政府部门网站如下表所示。

被篡改页面URL

所属部门或地区

级别

http://shangbao.ahjt.gov.cn/index.htm

安徽省

省部级

http://www.hebgs.gov.cn/yw/yp/UploadSoft/cmd.asp

河北省

省部级

http://www.hljzzy.gov.cn/islam.htm

黑龙江省

省部级

http://www.tjww.gov.cn/cnhack.htm

天津市

省部级

http://www.smeyn.gov.cn/expert_msg.asp

云南省

省部级

http://oa.tlinfo.gov.cn/index.htm

安徽省铜陵市

地市级

http://www.jqhd315.gov.cn/hex.htm

甘肃省酒泉市

地市级

http://www.dfga.gov.cn/1.htm

河南省登封市

地市级

http://tg.linzhou.gov.cn

河南省林州市

地市级

http://tzb.linzhou.gov.cn

河南省林州市

地市级

http://xnc.linzhou.gov.cn

河南省林州市

地市级

http://www.lzdjw.gov.cn

河南省林州市

地市级

http://www.lzkjw.gov.cn

河南省林州市

地市级

http://www.lzzx.gov.cn

河南省林州市

地市级

http://www.ezfpc.gov.cn/index.htm

湖北省鄂州市

地市级

http://old.xfjt.gov.cn/default.asp

湖北省襄樊市

地市级

http://www.czgl.gov.cn/default.asp

湖南省郴州市

地市级

http://czradio.gov.cn/default.asp

湖南省郴州市

地市级

http://www.old.hnloudi.gov.cn/hex.htm

湖南省娄底市

地市级

http://fgw.xxz.gov.cn/default.asp

湖南省湘西自治州

地市级

http://www.zzslj.gov.cn/1.htm

湖南省株洲市

地市级

http://www.sywj.gov.cn/0.0.html

辽宁省沈阳市

地市级

http://btrs.gov.cn/default.asp

内蒙古自治区包头市

地市级

http://vod.yledu.gov.cn/index.htm

陕西省榆林市

地市级

http://ldbzj.my.gov.cn/hex.htm

四川省绵阳市

地市级

http://jdgs.gov.cn

浙江省建德市

地市级

http://www.888.gov.cn/index.asp

浙江省某工业园

地市级

       
  二、本周活跃恶意域名

q5.cptiandi.com

x5.cptiandi.com

*.wwvv.us

abf.bij.pl(和abg\abi\abj.bij.pl

neb.xorg.pl

hfu.xorg.pl

qa333.8866.org

qa222.8866.org

dgfdh.8866.org

klkl111.8866.org

e.6to23.com

game.hsw.cn


  注:根据华为、奇虎、知道创宇、启明星辰、安天等企业报送的网页挂马信息整理。

  本周活跃的恶意域名中动态域名占据较大比例,如:bij.pl、xorg.pl、8866.org等。此外,通过监测还发现,一些允许用户上传文本文件、图片和URL的大型论坛和交友社区网站逐渐成为黑客挂马和散发恶意代码的重点,建议用户在访问类似网站的时候注意开启安全防护软件,并避免点击可疑的链接。

  三、本周活跃恶意代码

名称

特点

Hack.Exploit.Script.JS.Agent.ju

该病毒是一段加密病毒脚本,利用RealPlay播放器的溢出漏洞下载病毒文件进行执行和传播。病毒会将网页脚本加密成乱码字符,普通用户很难知道这是一段病毒代码。病毒通过调用RealPlayer组件,用病毒作者特定shellcode溢出,成功之后,就会打开病毒作者的下载地址,下载运行其他病毒。

Trojan.DL.Giframe.a

这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。

Worm.Win32.MS08-067.c

这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。

Trojan.DL.PicFrame.a

这是一个下载者病毒,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Trojan.Win32.Patched-RARSFX.m

该病毒程序是伪装成游戏外挂程序或作弊器程序的恶意RAR文件,欺骗用户执行。恶意RAR病毒体内包含多种病毒,可随时根据病毒编制者的需要进行修改。

  





















  注:根据瑞星等企业报送的恶意代码信息整理。

  本周,利用操作系统及应用软件漏洞传播的恶意代码仍占较高比例,利用第三方游戏辅助工具进行传播的恶意代码显著增多。CNCERT提醒互联网用户加强安全漏洞修补加固,加装安全防护软件并开启实时监控功能;不要轻信游戏外挂程序、作弊器等第三方游戏辅助工具;尽量不要从陌生的网址上下载文件以及运行来源不明的程序。

  四、本周重要漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。

  1、Microsoft IE存在信息泄露漏洞

  Microsoft IE存在URLMON嗅探跨域和动态OBJECT标签信息泄露漏洞。在加载本地文件时,IE的HTML渲染引擎仅检查其MIME类型来判断是否匹配为可处理的文件。对于没有明确设置内容类型的非html文件,URLMON会根据重新定向所示,默认处理为text/html类型。目前,微软尚未对该漏洞提供补丁或者升级程序,建议用户采取开启IE保护模式、启动防火墙、安装杀毒软件等措施,以避免受到漏洞影响。
  2、IBM DB2存在远程拒绝服务漏洞

  IBM DB2是一个大型的商业关系数据库系统。DB2安装程序默认安装了Tivoli Monitoring,Tivoli Monitoring代理kuddb2服务监听6014端口。如果远程攻击者发送了“\x00\x05\x03\x31\x41”五个字节的话,就会导致kuddb2服务崩溃。目前厂商尚未提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本。

  3、Wireshark LWRES协议解析模块存在栈溢出漏洞

  Wireshark是一款流行的网络协议分析工具。Wireshark的LWRES协议解析模块中存在栈溢出漏洞,如果用户受骗从网络上抓取了恶意的报文或读取了恶意抓包文件,就会导致解析模块崩溃或执行任意代码。

  4、iPhone OS 存在信息泄露漏洞

  iPhone OS是苹果iPhone智能手机和iPod touch播放器所使用的操作系统。iPhone OS在处理某些USB控制消息时存在内存破坏漏洞,攻击者可以绕过通行验证码来访问用户数据。

  小结:本周CNVD所整理的漏洞信息中,IE浏览器,IBM数据库,iPhone操作系统等均出现严重漏洞,影响广大网民的上网安全。其中,除第1条和第2条漏洞信息厂商尚未提供相应的补丁程序外,其他漏洞信息均有修复方案,提醒广大用户注意采取安全防护措施,尽快下载相关补丁程序。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804