6月7日-6月20日网络安全基本态势

【字体：大中小】

　　6月7日至20日两周，互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。

　　依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，6月7日至6月13日，境内被木马控制的主机IP地址数目为104795个，与前一周环比增长50%；境内被僵尸网络控制的主机IP地址数目为6394个，环比下降1%；境内被篡改政府网站数量为138个，环比下降5%；新增信息安全漏洞46个，环比下降18%，其中高危漏洞5个, 环比增长25%。
　　6月14日至6月20日，境内被木马控制的主机IP地址数目为491402个，与前一周环比增长369%；境内被僵尸网络控制的主机IP地址数目为5572个，环比下降13%；境内被篡改政府网站数量为108个，环比下降22%；新增信息安全漏洞29个，环比下降37%，其中高危漏洞3个, 环比下降40%。

　　一、重点网络安全事件

　　6月7日至20日CNCERT监测发现，境内被篡改政府网站数量较前两周有所下降，截至6月21日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL	所属部门或地区
http://shangbao.ahjt.gov.cn/default.asp	安徽省
http://jtkx.ahjt.gov.cn/default.asp	安徽省
http://zrq.sh1111.gov.cn/default.asp	上海市
http://aqzy.gov.cn/index.htm	安徽省安庆市
http://czqs.gov.cn	安徽省滁州市
http://oa.hbhbj.gov.cn/default.asp	安徽省淮北市
http://pub.gzstats.gov.cn/default.asp	广东省广州市
http://www.gz.3000.gov.cn/default.asp	广东省广州市
http://sgqc.gov.cn/index.asp	广东省韶关市
http://www.zqfpb.gov.cn/indonesia.txt	广东省肇庆市
http://gdzqagri.gov.cn/index.htm	广东省肇庆市
http://www.gdzqagri.gov.cn/default.asp	广东省肇庆市
http://nckj.fcgkj.gov.cn/index.htm	广西自治区防城港市
http://www.gzxydj.gov.cn/agresif.htm	贵州省兴义市
http://www.hasq-l-tax.gov.cn/index.htm	河南省商丘市
http://mdjagri.gov.cn/index.htm	黑龙江省牡丹江市
http://vod.jianghan-edu.gov.cn/index.htm	湖北省武汉市
http://www.ycst.gov.cn/09v2/UploadSoft/UNDEADLEGION.htm	湖北省宜昌市
http://www.czcl.gov.cn/default.asp	湖南省郴州市
http://www.czswj.gov.cn/cgi.htm	湖南省郴州市
http://zjj315.gov.cn/default.asp	湖南省张家界市
http://froum.gzl.gov.cn/corn/corn_cultivation/show.php?ID5	吉林省公主岭市
http://www.cssafety.gov.cn/bulletin/index.asp?id=416	江苏省常熟市
http://jstz-n-tax.gov.cn/index.htm	江苏省泰州市
http://www.gzbmj.gov.cn/UploadSoft/2010619113656394.exe	江西省赣州市
http://dsb.laiwu.gov.cn	山东省莱芜市
http://www.pzhmzw.gov.cn/3.html	四川省攀枝花市
http://www.cdjustice.chengdu.gov.cn/index.htm	四川省成都市
http://law.xw.gov.cn/index.htm	云南省宣威市

　　注：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

　　二、活跃恶意域名

　　6月7日至20日，CNCERT监测和整理的用于网页挂马的活跃恶意域名如下表所示，值得注意的是其中被注册用于挂马活动的.CN域名数量又有所增加。黑客或挂马集团为躲避管理部门对恶意域名的整治，往往采取批量注册大量域名，然后不断变换挂马所用域名的手法，这使得恶意域名的存活周期较短，给处置工作带来极大难度。CNCERT建议国内域名注册管理和服务机构加强对如何从源头解决域名滥用问题的研究，同时加强对恶意域名的处置工作，避免造成更大的危害。

组别	域名列表
第一组	10f.officea.ze.tc、10j.conna.dtdns.net、10k.inc.0rg.fr、10l.inc.0rg.fr、10n.conna.dtdns.net、10n.inc.0rg.fr、10q.inc.0rg.fr、10r.inc.0rg.fr、12a.conna.dtdns.net、12d.conna.dtdns.net、12f.conna.dtdns.net、12o.conna.dtdns.net、12w.conna.dtdns.net、12w.officea.ze.tc、12x.conna.dtdns.net、22c.cssa.c0m.at、22e.inc.0rg.fr、22g.conna.dtdns.net、22h.inc.0rg.fr、22i.officea.ze.tc、22q.officea.ze.tc、22r.officea.ze.tc、22v.conna.dtdns.net、22v.cssa.c0m.at、22v.inc.0rg.fr、22v.officea.ze.tc、22x.cssa.c0m.at、22y.officea.ze.tc、26a.conna.dtdns.net、26b.conna.dtdns.net、26d.conna.dtdns.net、26d.inc.0rg.fr、26e.conna.dtdns.net、26e.cssa.c0m.at、26e.gsup.ass0.fr、26e.inc.0rg.fr、26e.officea.ze.tc、26g.conna.dtdns.net、26g.cssa.c0m.at、26g.officea.ze.tc、7a.inc.0rg.fr、8a.conna.dtdns.net、8a.gsup.ass0.fr、k.conna.dtdns.net
第二组	aie.2288.org、ajl.2288.org、ajo.2288.org、ajp.2288.org、ajr.2288.org、ajs.2288.org、 ajt.2288.org、aju.2288.org、ajv.2288.org、ajw.2288.org、ajx.2288.org、ajy.2288.org、 ajz.2288.org、aka.2288.org、akb.2288.org、akc.2288.org、akg.2288.org、alg.2288.org、alh.2288.org、aln.2288.org、alp.2288.org、alq.2288.org、als.2288.org、 alv.2288.org、alw.2288.org、alx.2288.org、alz.2288.org、amb.2288.org、amc.2288.org、ame.2288.org、amf.2288.org
第三组	ban.isGre.at、bao.isGre.at、baq.isGre.at、bas.isGre.at、bat.isGre.at、bau.isGre.at、 baw.isGre.at、bax.isGre.at、bbb.isGre.at、bbd.isGre.at、bbe.isGre.at、bbf.isGre.at、 bbg.isGre.at、bbh.isGre.at、bbi.isGre.at、bbn.isGre.at
第四组	hue.xorg.pl、hug.xorg.pl、hun.xorg.pl、hup.xorg.pl、j10.xorg.pl、j11.xorg.pl
第五组	ajkashd29.3322.org:6677、hahagua37.8866.org:7788、hyut234.3322.org:7788、microsoft21.2288.org:6677、microsoft29.8866.org:6677、uyjyjkuyj.3322.org:6677
第六组	c.nje1.cn、c.nje2.cn、c.tlinee.com.cn、c.ustocn.com.cn、c.vcmart.com.cn、c.wvg5.cn、e.ckt4.cn、e.ckt9.cn、e.tlinee.com.cn、i.hope2012.info、i.hot-bags.info、 i.light2012.info、i.lookforhosting.com、p.lookforhosting.com、q.ckt4.cn、q.light2012.info、q.listage.info、q.love2012.info、q.sifly.info、q.sina163.info、q.tg250.com.cn、q.ustocn.com.cn、r.light2012.info、r.listage.info、r.love2012.info、 r.sifly.info、r.sina163.info、r.tlinee.com.cn、r.ustocn.com.cn、r.vesaweb.com.cn、 t.light2012.info、t.listage.info、t.love2012.info、t.sifly.info、t.sina163.info、u.light2012.info、u.listage.info、u.sifly.info、u.sina163.info、v.tg250.com.cn、w.ckt7.cn、w.ckt9.cn、w.light2012.info、w.listage.info、w.love2012.info、w.sina163.info、y.listage.info、y.love2012.info、y.sifly.info、mm.25tb.info 、jack.ghostwindows8.info、、mm.hostallinone.info、bbs.lovewowlist.com、hroe.zuowenxiu.info、test.lovewowlist.com、www.lovewowlist.com、user.25tb.info、love.xiyinmimi.com

　　注：根据微软、华为、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理。

　　三、活跃恶意代码

名称	特点
Hack.Exploit.Script.JS.Agent.ju	该病毒是一段加密病毒脚本，利用RealPlay播放器的溢出漏洞下载病毒文件进行执行和传播。病毒会将网页脚本加密成乱码字符，普通用户很难知道这是一段病毒代码。病毒通过调用RealPlayer组件，用病毒作者特定shellcode溢出，成功之后，就会打开病毒作者的下载地址，下载运行其他病毒。
Trojan.DL.PicFrame.a	这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。
Trojan.DL.Script.VBS.Mnless.e	这是一个经过加密的VBS脚本病毒，病毒解密之后，将会从远程服务器下载文件并执行。
AdWare.Win32.Fedon.c	这是一个使用VC++编写的病毒，该病毒通过程序下载或捆绑传播，可以监控用户浏览器的敏感数据。

　　
　　
　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　6月7日至20日，利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例，CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。

　　四、重要安全漏洞

　　6月7日至20日，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。

　　1、Microsoft“帮助和支持中心”存在漏洞可允许远程执行代码

　　微软发布安全公告(2219475)称，Windows XP 和 Windows Server 2003“帮助和支持中心”(helpctr.exe)存在一个安全漏洞，如果攻击者诱使用户打开经特殊构造的恶意页面，便可能远程执行恶意代码。微软表示，目前该漏洞的相关信息和PoC代码已经被公开，并收到局部小范围的利用此漏洞进行攻击的报告。公开的PoC代码在Windows Server 2003并不能导致执行代码。目前用户可以采用微软提供的临时修补方案(Microsoft Fix it 50459)或删除注册表中HCP协议注册，来避免受到漏洞威胁。

　　2、Apple Webkit存在多个安全漏洞

　　Apple Safari是一款流行的WEB浏览器，WebKit是Safari浏览器使用的内核。WebKit存在多个安全漏洞，允许恶意用户利用漏洞获得系统控制权限或未授权获取应用程序执行权限。具体漏洞信息为：WebKit拖或粘贴跨越脚本漏洞、WebKit 'Node.normalize'方法远程代码执行漏洞、Webkit HTML documentFragment跨站脚本漏洞、Apple Webkit SVG RadialGradiant Run-in远程代码执行漏洞、Apple Webkit ConditionEventListener远程代码执行漏洞、Apple Webkit ProcessInstruction目标错误消息插入远程代码执行漏洞、Apple Webkit First-Letter远程代码执行漏洞等。目前苹果公司已经发布升级补丁修复了这些漏洞，建议相关用户尽快下载使用。

　　3、Wireshark 0.8.20至1.2.8版本存在多个安全漏洞

　　Wireshark（前称Ethereal）是一个网络封包分析软件。Wireshark存在多个安全漏洞，允许恶意用户对应用程序进行拒绝服务攻击。具体漏洞信息为：SMB解析器存在空指针应用错误、ASN.1 BER解析器存在栈溢出错误、SMB PIPE解析器存在空指针应用错误、SigComp通用解压缩虚拟机存在无限循环错误、SigComp通用解压缩虚拟机存在单字节溢出错误。目前Wireshark 1.2.9和Wireshark 1.0.14版本已经修复了上述漏洞，建议相关用户尽快下载使用。

　　4、Adobe Flash Player 10.0.45.2/AIR 1.5.3.9130及之前版本存在多个安全漏洞

　　Adobe发布安全公告(APSB10-14)称，Adobe Flash Player 10.0.45.2及之前版本、Adobe AIR 1.5.3.9130及之前版本存在32个安全漏洞，其中包括远程代码执行“0 day”漏洞（CVE-2010-1297），远程攻击者利用这些漏洞可导致应用程序崩溃，并可能获得系统控制权限。目前厂商已经发布升级补丁修复了这些漏洞，建议相关用户尽快下载使用。

　　5、Google Chrome 5.0.375.70之前版本存在多个安全漏洞

　　 Google Chrome是一款开源的WEB浏览器。Google Chrome 5.0.375.70之前版本存在多个安全漏洞，攻击者可以利用漏洞进行拒绝服务、跨域脚本、执行任意代码等攻击。具体漏洞信息为：跨源击键重定向安全问题、DOM方法跨源绕过问题、表单布局存在内存错误、linux沙盒可绕过漏洞、DOM节点正常化存在内存破坏问题、文本转换存在内存破坏问题、textarea InnerHTML属性存在跨站脚本漏洞、字体处理存在内存破坏漏洞、list markers渲染存在内存破坏。目前Google Chrome 5.0.375 .70已经修复了上述漏洞，建议相关用户尽快下载使用。

　　6、Ziproxy PNG图像处理漏洞

　　Ziproxy是一款具备转发、压缩功能的HTTP代理服务器。它可以将页面图像转换到低质量JPEG文件或JPEG 2000，也可以压缩HTML和其他文字样的数据。Ziproxy处理部分PNG图像时存在错误，攻击者诱使用户通过Ziproxy载入经特殊构建的PNG图像，可触发基于堆的缓冲区溢出。目前Ziproxy 3.1.1已经修复了该漏洞，建议相关用户尽快下载使用。

　　小结：上述CNVD所整理的漏洞信息中，微软“帮助和支持中心”漏洞的“0 day”攻击代码已经被公开并且互联网上已经有攻击行为发生。Adobe Flash Player/Adobe AIR存在的32个安全漏洞，包括远程代码执行“0 day”漏洞（CVE-2010-1297）对用户威胁程度较高。Wireshark、Apple Webkit、Google Chrome、Ziproxy等存在的漏洞，也对国内网民的上网安全构成一定影响。提醒广大用户尽快下载相关补丁或采取相关措施，避免遭受漏洞影响。

　　注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

【打印】【关闭】

主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号地址: 中国北京西长安街13号邮编: 100804