本周网络安全基本态势(6月28日-7月4日）

【字体：大中小】

　　本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为31万个，与前一周环比下降22%；境内被僵尸网络控制的主机IP地址数目为9035个，环比增长48%；境内被篡改政府网站数量为113个，环比下降35%；新增信息安全漏洞40个，环比下降26%，其中高危漏洞4个, 环比增长100%。

　　一、本周重点网络安全事件

　　根据CNCERT监测数据，本周境内被篡改政府网站数量较上周有所下降，截至7月5日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL	所属部门或地区
http://jiaoliu.gpl.gov.cn/default.asp	甘肃省
http://jjjc.gzmwr.gov.cn/sele.txt	贵州省
http://www.gzforestry.gov.cn/index.htm	贵州省
http://www.hljzzy.gov.cn/default.asp	黑龙江省
http://czqs.gov.cn/zorro.htm	安徽省滁州市
http://fyjs.gov.cn/index.htm	安徽省阜阳市
http://www.lpssafety.gov.cn/default.asp	贵州省六盘水市
http://www.hehs.lm.gov.cn/zorro.htm	河北省衡水市
http://www.dfsjsw.gov.cn/sear.asp	河南省登封市
http://xtgtzy.gov.cn/index.htm	湖北省仙桃市
http://al.xgqts.gov.cn/index.htm	湖北省安陆市
http://old.xfjt.gov.cn/index.asp	湖北省襄樊市
http://www.zzslj.gov.cn/zorro.htm	湖南省株洲市
http://www.cznjj.gov.cn/default.asp	湖南省郴州市
http://www.czgl.gov.cn	湖南省郴州市
http://www.cgcc.gov.cn/en/v1.php?classid=12&id=219	吉林省长春市
http://www.jgsw.gov.cn/zorro.htm	江苏省扬州市
http://www.hyhj.gov.cn/index.htm	江苏省淮阴市
http://www.ychouse.gov.cn/zorro.htm	江苏省盐城市
http://pjcredit.gov.cn/admin.asp	辽宁省盘锦市
http://www.alstax.gov.cn/index.htm	内蒙古自治区阿拉善盟
http://www.wzzj12365.gov.cn/default.asp	宁夏自治区吴忠市
http://www.qtx.gov.cn/index.htm	宁夏自治区青铜峡市
http://www.qtxtj.gov.cn/index.htm	宁夏自治区青铜峡市
http://www.qtxdj.gov.cn/index.htm	宁夏自治区青铜峡市
http://www.xnepb.gov.cn/zorro.htm	青海省西宁市
http://www.bzmz.gov.cn/kxfzg/sear.asp	山东省滨州市
http://rcsc.tongchuan.gov.cn/index.htm	陕西省铜川市
http://zx.shzb.gov.cn/hex.htm	上海市闸北区
http://www.scnc.lss.gov.cn/zorro.htm	四川省南充市
http://ncfdj.gov.cn/index.htm	四川省南充市
http://snst.gov.cn/zorro.htm	四川省遂宁市
http://urumqi12319.gov.cn/index.htm	新疆自治区乌鲁木齐市

　　注：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

　　二、本周活跃恶意域名

　　本周，CNCERT重点关注的四组恶意域名如下表所示：1）注册在.ze.tc、.dtdns.net、0rg.fr、c0m.at、qc.cx、.fr等多个域上的恶意域名，这些域名多为动态域名；2）注册在.isgre.at域上的动态域名；3）注册在.wwvv.us域上的动态域名；4）注册在.info域名上的动态域名。

组别	域名列表
第一组	10f.officea.ze.tc、10r.conna.dtdns.net、10r.inc.0rg.fr、12a.conna.dtdns.net、12j.conna.dtdns.net、12p.conna.dtdns.net、12r.conna.dtdns.net、22g.inc.0rg.fr、22i.officea.ze.tc、22x.cssa.c0m.at、26i.cssa.c0m.at、26j.inc.0rg.fr、26y.conna.dtdns.net、26z.inc.ass0.fr、31c.conna.dtdns.net、31c.css66.qc.cx、31c.inc.ass0.fr、31c.office.1s.fr、22r.officea.ze.tc、26n.conna.dtdns.net、31b.inc.ass0.fr、26y.office.1s.fr、26z.office.1s.fr
第二组	bbm.isgre.at、bby.isgre.at、bcc.isGre.at、bcd.isGre.at、bce.isGre.at、bcf.isGre.at、bcg.isGre.at、bcj.isGre.at、bck.isGre.at、bcl.isGre.at、bcm.isGre.at、bcn.isGre.at、bco.isGre.at、bcp.isGre.at、bbi.isgre.at、bbj.isgre.at、bbn.isgre.at、bbr.isgre.at、bcd.isgre.at、bcj.IsGre.at
第三组	errors.9966.org.wwvv.us、qddq.ww.wwvv.us、qq.ww.wwvv.us、w212.2.wwvv.us、w2f.22.wwvv.us、w2w.2.wwvv.us、w2w.2we.wwvv.us、www.2.wwvv.us、www.baidu.cn.wwvv.us
第四组	apple.wape.info、baidu.usai.info、dusk.usai.info、i.hope2012.info、i.hot-bags.info、i.light2012.info、i.listage.info、jaack.suta.info、kkeep.wape.info、koxo.0199.info、o.hope2012.info、o.hot-bags.info、o.twohost.info、p.hope2012.info、p.twohost.info、pap.tbag.info、q.4bh.info、q.7nn.info、q.light2012.info、q.love2012.info、q.sifly.info、q.sina163.info、r.listage.info、r.love2012.info、r.sifly.info、r.sina163.info、ssaa.usai.info、t.light2012.info、t.sifly.info、t.sina163.info、u.light2012.info、u.listage.info、u.love2012.info、u.sifly.info、u.sina163.info、w.light2012.info、w.listage.info、w.love2012.info、w.sifly.info、w.sina163.info、w2.kabicao.com、y.light2012.info、y.listage.info、y.love2012.info、y.sifly.info、q.coln.info、lost.tbag.info、p.hot-bags.info、r.light2012.info

　　注：根据微软、中国科技网、奇虎、知道创宇、启明星辰、安天、东软等单位报送的网页挂马信息整理。

　　依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定，本周CNCERT在新网、万网等域名注册服务机构的配合和支持下，对15个在中国大陆注册的恶意域名采取了暂停域名解析服务的处置措施。详细列表如下所示。

处置域名列表	处置原因
pnc-client190b11.com	网络仿冒
8.brsqb.cn、abcd100621.3322.org、9527idc.vicp.net、GROWTHSTAFF.COM、volgo-marun.cn、nje8.cn、nje9.cn、asdas11.92plug.cn、www.exinyi.cn、ccc.geglete.cn、up.spiritsoft.cn、www.wndwo.cn、rohudufoj.cn、xtefepxe.cn	传播恶意代码

　　三、本周活跃恶意代码

名称	特点
Hack.Exploit.Script.JS.Agent.ju	该病毒采用加密脚本，利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符，普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件，用特定构造的shellcode进行溢出。成功之后，就会打开指定的下载地址，下载其他病毒。
Trojan.DL.PicFrame.a	这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。不过，目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。
Trojan.DL.Script.VBS.Mnless.e	这是一个经过加密的VBS脚本病毒，病毒解密之后，将会从远程服务器下载文件并执行。
Trojan.Win32.StartPage.pqi	这是一个伪装成专用播放器的病毒。病毒被激活后，会出现假的安装提示，用户一旦点击安装，病毒就会向桌面添加多种快捷方式：如“八卦色图”、“美女视频”、“淘宝网”、“流行音乐”，并将其指向其恶意网址（http://v2.cc）。另外，病毒在运行时还会弹出要求用户关闭杀毒软件监控功能的对话框。

　　
　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　本周，利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。此外，不要轻易打开网络上不明来源的图片、音乐、视频等文件。

　　四、本周重要安全漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD漏洞周报（http://www.cnvd.org.cn/reports/list）。

　　1、MySQL在处理 “ALTER DATABASE”时存在拒绝服务漏洞

　　 MySQL是一款流行的数据库软件。MySQL在处理“ALTER DATABASE”声明语句时存在漏洞，攻击者通过在“#mysql50#”前缀之后附加“.”或“..”，便可破坏MySQL数据目录。MySQL 5.1.48已经修复了该漏洞，建议相关用户尽快下载更新，避免攻击者利用该漏洞破坏数据库。

　　2、Adobe Flash Player AVM Bytecode存在整数溢出漏洞

　　Adobe Flash Player是一款多媒体程序播放器。Flash Player在解析ActionScript Virtual Machine(AVM) 2 Bytecode中的opcode时存在整数溢出漏洞，此外AVM Bytecode验证符中也存在整数溢出漏洞，攻击者可利用上述漏洞以浏览器用户的权限执行特定代码。目前厂商已发布了安全公告及相关补丁，建议用户下载使用。

　　3、libpng存在内存破坏和拒绝服务漏洞

　　libpng是多种应用程序所使用的解析PNG图形格式的函数库。libpng在处理图形行数据时存在缓冲区溢出漏洞，攻击者可利用漏洞执行特定代码；此外，libpng在处理某些sCAL块时可能出现内存泄露，解析特制的PNG图形可导致拒绝服务。目前libpng 1.2.44和libpng 1.4.3已经修复了上述漏洞，建议相关用户尽快下载使更新。

　　4、MemDB多款产品存在远程拒绝服务漏洞

　　MemDB公司开发的内存数据库系统、在线调查系统等多款软件产品存在安全漏洞。这些产品在解析HTTP "Host"头字段数据时，嵌入式WEB服务器存在边界错误，可触发基于栈的缓冲区溢出。攻击者可利用漏洞执行远程拒绝服务攻击，破坏目标系统。目前厂商尚未发布补丁或更新程序，建议相关用户继续关注厂商主页以获得解决方案。

　　小结：本周CNVD收集的漏洞信息中，MySQL 、Adobe Flash Player、libpng等应用广泛的软件出现高危漏洞，这些漏洞可被攻击者利用来执行特定代码或拒绝服务攻击，对网民的上网安全构成一定影响。请广大用户尽快采取防范或修补更新措施，避免引发漏洞相关的安全事件。

　　注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

【打印】【关闭】