6月21日-6月27日网络安全基本态势

【字体：大中小】

　　本周互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为40万个，与前一周环比下降18%；境内被僵尸网络控制的主机IP地址数目为6098个，环比增长9%；境内被篡改政府网站数量为174个，环比增长61%；新增信息安全漏洞54个，环比增长86%，其中高危漏洞2个, 环比下降33%。

　　一、本周重点网络安全事件

　　根据CNCERT监测数据，本周境内被篡改政府网站数量较上周有所增长，截至6月28日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL	所属部门或地区
http://www.cfcc.gov.cn/index.htm	中国保护消费者诚信企业认证中心
http://igwmc.cigem.gov.cn/manage/Login.asp	中国地质环境监测院
http://shangbao.ahjt.gov.cn/index.asp	安徽省
http://zjz.ahjt.gov.cn/default.asp	安徽省
http://jtkx.ahjt.gov.cn/index.php	安徽省
http://www.gsrc.gov.cn/index.asp	甘肃省
http://www.hbmie.gov.cn/agresif.htm	湖北省
http://www.nmgjy.gov.cn/aspx.aspx	内蒙古自治区
http://www.nmgch.gov.cn/index.htm	内蒙古自治区
http://aqfda.gov.cn/index.htm	安徽省安庆市
http://aqxxgk.anqing.gov.cn/default.asp	安徽省安庆市
http://xxgk.tongcheng.gov.cn/default.asp	安徽省桐城市
http://www.gdgyagri.gov.cn	广东省高要市
http://www.ghjsj-heyuan.gov.cn/index.htm	广东省河源市
http://www.zqfpb.gov.cn/index.htm	广东省肇庆市
http://www.gzchishui.gov.cn/agresif.htm	贵州省赤水市
http://www.gysrf.gov.cn/index.htm	贵州省贵阳市
http://www.chdrsrc.gov.cn/Uploadsoft/icefish.html	河北省承德市
http://www.hehs.lm.gov.cn/index.htm	河北省衡水市
http://www.sqaic.gov.cn/rw.txt	河南省商丘市
http://www.hgsc.gov.cn/index.htm	湖北省黄冈市
http://www.0735.gov.cn/index.asp	湖南省郴州市
http://czradio.gov.cn/default.asp	湖南省郴州市
http://www.zzslj.gov.cn/index.htm	湖南省株洲市
http://zfb.taizhou.gov.cn/index.htm	江苏省泰州市
http://www.jgsw.gov.cn/index.htm	江苏省扬州市
http://qa.dda.gov.cn/index.htm	辽宁省大连市
http://www2.dda.gov.cn/index.htm	辽宁省大连市
http://fssti.gov.cn/index.htm	辽宁省抚顺市
http://sfj.baoji.gov.cn	陕西省宝鸡市
http://pbcbj.baoji.gov.cn	陕西省宝鸡市
http://www.baojicz.gov.cn/bjcz/article.php?id=1146	陕西省宝鸡市
http://sw.yajsgh.gov.cn/default.asp	陕西省延安市
http://www.scepz.gov.cn/fish.txt	四川省成都市
http://www.scnc.lss.gov.cn/index.htm	四川省南充市
http://law.xw.gov.cn	云南省宣威市
http://shangyu.gov.cn/index.htm	浙江省上虞市

　　注：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

　　二、本周活跃恶意域名

　　本周，CNCERT发现一批用于网页挂马的活跃恶意域名，且判断它们均为同一黑客或挂马集团所掌握。这些域名可按特征细分为以下几组：1）以6677、7788为服务端口的域名；2）以88、89、90为服务端口的域名；3）以300为服务端口的域名；4）注册在3322.org域上的命名相似的域名；5）注册在.cn域上的命名相似的域名；6）注册在.info域上的命名相似的域名。另外，还有多个注册在3322.org、.info、020339.com、2288.org、9966.org、8800.org域上的动态恶意域名。

域名特征	域名列表
以6677、7788为服务端口	234kfjayufjand.3322.org:7788、234oakfigfnauf.3322.org:7788、234okdayfnakyas.3322.org:7788、234okdianfyuanf.3322.org:7788、28kfhaydnajfya.3322.org:6677、duiekemgy.3322.org:7788、gsgah5a.9966.org:7788、hahagua54.8866.org:7788、kuikuy.3322.org:6677、uykikuik.3322.org:6677
以88、89、90为服务端口	abc.geglete.cn:89、ajsa.3322.org:89、ajsa.9966.org:89、ajsh.6600.org:89、ajsh.8866.org:89、ccc.geglete.cn:89、pluo.3322.org:89、wowwm.3322.org:89、wsmhen123.3322.org:88、4fre5gerr.8866.org:90、hsdkw56.3322.org:89、sadcm.6600.org:90
以300为服务端口	asdk4.3322.org:300、7894edrf.2288.org:300、v1.alimama.vu.cx:300
注册在3322.org域上的命名相似的域名	wending0002.3322.org、wending0003.3322.org、wending0004.3322.org、wending0007.3322.org、wending0008.3322.org、wending0009.3322.org、wending0010.3322.org、wending0011.3322.org、wending0012.3322.org、wending0014.3322.org、wending0018.3322.org、wending0019.3322.org、wending0021.3322.org
注册在.cn域上的命名相似的域名	c.nje1.cn、c.nje2.cn、c.tlinee.com.cn、c.ustocn.com.cn、c.vcmart.com.cn、c.wvg5.cn、nje8.cn、nje9.cn、q.ckt9.cn、q.nje1.cn、q.nje2.cn、q.taogu.org.cn:95、q.tg250.com.cn、q.ustocn.com.cn:95、r.jsguangji.cn、v.jsguangji.cn、v.taogu.org.cn、v.taogu.org-cn、v.tg250.com.cn、w.ckt4.cn、w.ckt7.cn、w.ckt9.cn、r.tlinee.com.cn、r.vesaweb.com.cn、e.ckt7.cn
注册在.info域上的命名相似的域名	zi.hope2012.info、i.hot-bags.info、i.light2012.info、i.listage.info、koxo.0199.info、luckys.0199.info、o.hope2012.info、q.love2012.info、q.sifly.info、q.sina163.info、r.love2012.info、r.sifly.info、r.sina163.info、u.light2012.info、u.listage.info、u.sifly.info、t.sina163.info、w.light2012.info、w.listage.info、w.love2012.info、y.light2012.info、y.listage.info、y.love2012.info、y.sifly.info
其他	1.xiaozai619.2288.org、8.brsqb.cn:8888、aooooo.3322.org、badu1.8866.org、bexx.2288.org、bs1j.8866.org、ca86.8866.org、catr.8866.org、、cnzz11.3322.org、cnzz11.8800.org、cnzz3.6600.org、cnzz5.6600.org、cnzz6.9966.org:8801、ffsgyq.com:131、olert856.8866.org、oqo2.3322.org、pkox.xiyinmimi.com、pooo.oicp.net、statdnsc.8800.org、t2010613.3322.org、tvbsb89.3322.org、ughjjk.8866.org、user.25tb.info、vqvq3.3322.org、vvw4.3322.org:33439、w2.kabicao.com、werfsd234gf42323f.020339.com、wfad.3322.org、win4.8800.org、wori1.8800.org、wqreuiou243dfs123.szjiahua.net、wvwvv.publicvm.com:8801、www.uoei83475fgjh234sdf2134.020339.com、xiaozai619.2288.org、xiazai611.3322.org、xinxin617.3322.org、xlxwz.3322.org:8800、web.dakoa.cn:6666、web.dmbks.cn:6666、youhun1.3322.org、z8x.3322.org、zbl5.8866.org、zxcz124.3322.org、mc.4avi.info、hreo.cocotte.info、hroe.zuowenxiu.info

　　注：根据微软、中国科技网、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理。

　　三、本周活跃恶意代码

名称	特点
Hack.Exploit.Script.JS.Agent.ju	该病毒采用加密脚本，利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符，普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件，用特定构造的shellcode进行溢出。成功之后，就会打开指定的下载地址，下载其他病毒。
Trojan.DL.PicFrame.a	这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。不过，目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。
Trojan.DL.Script.VBS.Mnless.e	这是一个经过加密的VBS脚本病毒，病毒解密之后，将会从远程服务器下载文件并执行。
Worm.Win32.MS08-067.c	这是一个利用微软操作系统MS08-067漏洞传播的蠕虫病毒。该蠕虫可通过U盘传播；由于病毒自身带有一个弱密码表，会猜解网络中计算机的登录密码，它还可通过局域网传播。

　　
　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　本周，利用应用软件及操作系统漏洞进行传播的恶意代码占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。此外，不要轻易打开网络上不明来源的图片、音乐、视频等文件。

　　四、本周重要安全漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD漏洞周报（http://www.cnvd.org.cn/reports/30）。

　　1、Mozilla Firefox/Thunderbird/SeaMonkey 存在多个安全漏洞

　　Mozilla Firefox/Thunderbird/SeaMonkey是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。这些产品中存在多个安全漏洞，攻击者可利用这些漏洞进行拒绝服务、跨站脚本、特定代码执行等攻击。Mozilla 已发布2010-26至30等多个编号的安全公告来修复这些安全漏洞，建议相关用户尽快下载安装更新程序。

　　2、Enemy Territory: Quake Wars存在多个安全漏洞

　　 Enemy Territory: Quake Wars（《雷神之战》）是一款多玩家第一人称射击游戏。Enemy Territory: Quake Wars存在多个安全漏洞，攻击者可利用漏洞执行拒绝服务攻击或以应用程序权限执行特定指令。目前厂商尚未发布补丁或更新程序，建议相关用户继续关注厂商主页以获取解决方案。

　　3、IBM WebSphere Application Server存在多个安全漏洞

　　IBM WebSphere Application Server是一款Web应用服务程序。IBM WebSphere Application Server存在多个安全漏洞，攻击者可利用漏洞窃取用户私密信息或执行拒绝服务攻击。目前IBM已经发布升级补丁修复了上述漏洞，建议相关用户尽快下载更新。

　　4、Apple iPhone\iPod touch存在多个安全漏洞

　　 iPod touch是苹果公司出产的媒体播放器，iPhone则是其出产的智能手机。Apple iPhone\iPod touch存在多个安全漏洞，攻击者可利用漏洞窃取用户私密信息或执行特定代码。目前Apple已经发布升级补丁修复了上述漏洞，建议相关用户尽快下载使用。

　　小结：本周，Mozilla Firefox/Thunderbird/SeaMonkey和Enemy Territory: Quake Wars等拥有大量用户的应用软件被披露存在多个高危漏洞，对用户信息安全以及用户主机安全构成严重威胁。此外，IBM WebSphere Application Server 和Apple iPhone\iPod touch等被披露存在安全漏洞，对网民的上网安全构成一定影响。请广大用户注意防范，特别是一些采用IBM WebSphere应用服务程序的网站，需尽快采取防范或修补更新措施，避免遭受侵害。

　　注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

【打印】【关闭】