5月31日-6月6日网络安全基本态势

【字体：大中小】

　　本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为69873个，同种类木马感染量与前一周环比下降40%（注1）；境内被僵尸网络控制的主机IP地址数目为6471个，环比下降13%；境内被篡改政府网站数量为145个，环比增长8%。

　　注1：与上周相比，本周监测范围新增了部分新型远控木马、下载者木马、窃密木马和盗号木马，监测范围总数为37种木马（包括：30种远控木马、5种下载者木马、1种窃密木马、1种盗号木马）和6类IRC僵尸网络。为保证数据的可比性，仍取近两周相同种类木马的监测数据做环比分析。
　　
　　一、本周重点网络安全事件

　　本周CNCERT监测发现，境内被篡改政府网站数量较上周有所增长，截至6月7日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL	所属部门或地区
http://shangbao.ahjt.gov.cn/index.htm	安徽省
http://xxgk.ahpc.gov.cn/admin/	安徽省
http://ygdz.ahpc.gov.cn/index.htm	安徽省
http://www.gsrc.gov.cn/index.htm	甘肃省
http://sg.gpl.gov.cn/default.asp	甘肃省
http://www.gzforestry.gov.cn/index.htm	贵州省
http://www.hljzzy.gov.cn/index.asp	黑龙江省
http://www.jlaudit.gov.cn	吉林省
http://nxmp.gov.cn/index.htm	宁夏自治区
http://www.czqs.gov.cn/neo.txt	安徽省滁州市
http://xjj.hnsfj.gov.cn	安徽省淮南市
http://www.hnzzb.gov.cn	安徽省淮南市
http://www.zqrs.gov.cn/indonesia.txt	广东省肇庆市
http://blog.zqdcn.gov.cn/index.htm	广东省肇庆市
http://hkagri.gov.cn/index.htm	海南省海口市
http://www.xxblr.gov.cn/js/	河南省新乡市
http://ajj.xianning.gov.cn/index.htm	湖北省咸宁市
http://old.xfjt.gov.cn/index.asp	湖北省襄樊市
http://www.0735.gov.cn/index.htm	湖南省郴州市
http://www.csepz.gov.cn/index.htm	江苏省常熟市
http://chinaxsy.gov.cn/neo.txt	江苏省靖江市
http://jjagri.gov.cn/neo.txt	江苏省靖江市
http://tzwjj.gov.cn/index.htm	江苏省泰州市
http://www.ychouse.gov.cn/index.htm	江苏省盐城市
http://www.tlgtj.gov.cn/index.htm	辽宁省铁岭市
http://www.wzzj12365.gov.cn	宁夏自治区吴忠市
http://jznl.jsnw.gov.cn/palestine.htm	山西省晋中市
http://zx.shzb.gov.cn/p.htm	上海市闸北区
http://dtaic.gov.cn/1.htm	四川省德阳市
http://ldbzj.my.gov.cn/help.asp	四川省绵阳市
http://nfj.gov.cn/index.htm	四川省南充市
http://jdgs.gov.cn	浙江省建德市
http://www.888.gov.cn/index.asp	浙江省台州市

　　注：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

　　二、本周活跃恶意域名

　　本周，CNCERT重点关注的四组恶意域名如下表所示：1）第一组域名多为境外注册的域名，主要用于构造恶意跳转链接或网马集成页面；2）第二组域名多用于构造漏洞触发页面或用作为恶意代码下载服务器；3）第三组域名是2288.org域上的一组动态域名，多用于构造网马集成页面或漏洞触发页面；4）第四组域名是.xorg.pl域名上的一组动态域名，多用于构造恶意跳转链接。CNCERT监测发现，第一组恶意域名和第二组恶意域名之间、第三组恶意域名和第四组恶意域名之间存在密切关联，上述相关联的域名组极有可能受同一黑客或挂马集团控制。

组别	域名列表
第一组	10f.officea.ze.tc、10i.conna.dtdns.net、10i.cssa.c0m.at、10i.inc.0rg.fr、10k.inc.0rg.fr、10n.conna.dtdns.net、10n.inc.0rg.fr、10q.gsup.ass0.fr、10q.inc.0rg.fr、10t.conna.dtdns.net、10v.gsup.ass0.fr、10x.inc.0rg.fr、12k.conna.dtdns.net、22b.conna.dtdns.net、22c.conna.dtdns.net、22c.cssa.c0m.at、22c.inc.0rg.fr、22c.officea.ze.tc、22d.conna.dtdns.net、22e.conna.dtdns.net、22f.conna.dtdns.net、22g.conna.dtdns.net、22g.officea.ze.tc、22h.conna.dtdns.net、22i.conna.dtdns.net、22i.cssa.c0m.at、22i.gsup.ass0.fr、22i.inc.0rg.fr、22i.officea.ze.tc、22j.officea.ze.tc、22o.conna.dtdns.net、22p.conna.dtdns.net、22p.officea.ze.tc、22q.conna.dtdns.net、22q.cssa.c0m.at、22q.gsup.ass0.fr、22q.inc.0rg.fr、22q.officea.ze.tc、22r.conna.dtdns.net、22r.cssa.c0m.at、22r.inc.0rg.fr、22r.officea.ze.tc、22t.conna.dtdns.net、22t.cssa.c0m.at、22t.gsup.ass0.fr、22t.inc.0rg.fr、22t.officea.ze.tc、5.inc.0rg.fr、6.conna.dtdns.net、6.inc.0rg.fr、7.inc.0rg.fr、8a.gsup.ass0.fr、9a.conna.dtdns.net、9b.conna.dtdns.net、9b.officea.ze.tc、k.conna.dtdns.net
第二组	aia.hao3.uicp.cn:300、huh20.3322.org:300、ov10.tvb.vu.cx:300、ov12.tvb.vu.cx:300 ov2.tvb.vu.cx:300、ov9.tvb.vu.cx:300
第三组	ahi.2288.org、ahk.2288.org、aht.2288.org、ahv.2288.org、ahw.2288.org、ahx.2288.org、ahy.2288.org、ahz.2288.org、aia.2288.org、aic.2288.org、aie.2288.org、aig.2288.org、aih.2288.org、aii.2288.org、ail.2288.org、ain.2288.org
第四组	hpv.xorg.pl、hui.xorg.pl、hul.xorg.pl、hum.xorg.pl、hun.xorg.pl、huo.xorg.pl、hup.xorg.pl、hus.xorg.pl、huv.xorg.pl、hux.xorg.pl、j17.xorg.pl

　　注：根据微软、华为、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理。

　　三、本周活跃恶意代码

名称	特点
Hack.Exploit.Script.JS.Agent.ju	该病毒是一段加密病毒脚本，利用RealPlay播放器的溢出漏洞下载病毒文件进行执行和传播。病毒会将网页脚本加密成乱码字符，普通用户很难知道这是一段病毒代码。病毒通过调用RealPlayer组件，用病毒作者特定shellcode溢出，成功之后，就会打开病毒作者的下载地址，下载运行其他病毒。
Trojan.DL.PicFrame.a	这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。
Hack.Exploit.Script.JS.ShellCode.by	这是一个利用IE浏览器的相关漏洞进行传播的病毒。该病毒利用mshtml.dll模块对xml对象解析的漏洞，构造伪造虚函数指针，溢出后会解密自身脚本代码，利用漏洞执行汇编代码，下载病毒作者指定的病毒。
Hack.Exploit.Script.JS.ShellCode.co	这是一个利用微软IE浏览器相关组件的漏洞进行传播的病毒。该病毒通过构造畸形字符串，使浏览器在解析代码时触发相关漏洞，从而运行有关病毒代码。

　　
　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　本周，利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例，其中，利用IE浏览器相关漏洞进行传播的恶意代码显著增多。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。

　　四、本周重要安全漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。

　　1、PHP语言存在多个信息泄露漏洞

　　PHP是一款流行的网络编程语言。PHP语言的多个函数存在信息泄露漏洞，远程攻击者可以利用漏洞获得敏感信息。具体漏洞信息为：PHP 中的strpbrk()、strtr()、strip_tags()、setcookie()、strtok()、wordwrap()、str_word_count()、str_pad()、str_getcsv()和htmlentities()/htmlspecialchars()函数存在中断处理地址信息泄漏漏洞。目前厂商尚未发布升级补丁，请相关用户随时关注厂商的主页以获取最新版本。

　　2 、TCExam存在任意文件上传漏洞

　　TCExam是一款开源的在线考试系统，用于在线试题的生成和管理。TCExam的admin/code/tce_functions_tcecode_editor.php脚本存在安全漏洞，允许用户向webroot中的文件夹上传，并执行带有任意扩展名的文件。目前厂商尚未发布补丁或升级程序，建议相关用户随时关注厂商的主页以获取最新版本。

　　3、Novell eDirectory存在多个安全漏洞

　　Novell eDirectory是一款跨平台的目录服务器。Novell eDirectory存在多个安全漏洞，允许恶意用户进行拒绝服务或以应用程序权限执行任意指令。具体漏洞信息为：在处理畸形verbs时，NDSD存在未明错误，可能导致应用程序崩溃；在dhost.exe处理经特殊构建的GET请求时，存在边界错误，可能导致缓冲区溢出；在对服务器进行某些安全扫描操作时，Dhost存在未明错误，可能导致应用程序崩溃。目前Novell eDirectory 8.8 SP5 Patch 4已经修复了以上漏洞，建议使用该产品的用户尽快下载使用。

　　4、CompleteFTP Server存在两个安全漏洞

　　CompleteFTP是一款高性能的Windows平台FTP服务器。CompleteFTP存在两个安全漏洞，允许恶意用户绕过安全限制控制受影响系统。具体漏洞信息为：FTP服务存在输入验证错误，如果攻击者在提交的文件名之前追加".../"序列，则可以下载或替换FTP ROOT目录之外的任意文件；FTP服务存在输入验证错误，允许攻击者通过指定绝对路径更改当前工作目录到文件系统上的任意目录。目前CompleteFTP Server 4.0.3已经修复了以上漏洞，建议受漏洞影响的用户尽快下载使用。

　　5、Google Chrome 5.0.375.55更新修复多个安全漏洞

　　Google Chrome是Google发布的开源WEB浏览器。Chrome的5.0.375.55版本更新修复了多个安全漏洞，如果用户受骗访问恶意网页就可能导致绕过安全限制或被完全入侵用户系统。具体漏洞信息为： Chrome未能正确地遵循对规范化URL的Safe Browsing规范；上传事件处理器的漏洞可能导致伪造URL栏； Safe Browsing交互和拖放功能存在漏洞可能导致内存破坏并执行任意代码；白名单模式的插件拦截器中的漏洞可能导致攻击者绕过安全限制； 'drag + drop' 交互功能的漏洞可能导致内存破坏并执行任意代码；扩展上下文中没有正确地执行JavaScript。目前厂商已经发布了升级补丁以修复以上安全问题，请相关用户及时下载更新。

　　6、Adobe Flash Player/Adobe Reader/Acrobat存在未明远程任意代码执行漏洞

　　Adobe近日发布安全公告称Flash Player、Adobe Reader和Acrobat中存在一个严重安全漏洞，该漏洞(CVE-2010-1297)可导致应用程序崩溃或使攻击者控制受影响系统。Flash Player 10.1 Release Candidate不受此漏洞影响，Adobe表示已经接到有黑客利用该漏洞进行攻击的报告。目前Adobe尚未提供官方修补方案，相关用户可采取重命名或删除Adobe Reader/Acrobat 9.x下的authplay.dll文件来暂时规避此漏洞带来的风险。

　　小结：本周，PHP语言存在多个安全漏洞，严重影响使用PHP语言开发的应用软件；Adobe存在严重安全漏洞，可允许黑客完全控制受影响的系统，并已经有黑客利用此漏洞进行攻击；此外，Google Chrome浏览器、TCExam在线考试系统、Novell eDirectory目录服务器、CompleteFTP服务器也均出现严重漏洞，这些漏洞可被攻击者利用来执行任意代码或进行敏感信息泄漏，对我国网民的上网安全造成严重影响。请广大用户尽快采取相关措施，避免受漏洞的威胁。

　　注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

【打印】【关闭】

主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号地址: 中国北京西长安街13号邮编: 100804