本周网络安全基本态势(7月5日-7月11日）

【字体：大中小】

　　本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为10万个，与前一周环比下降67%；境内被僵尸网络控制的主机IP地址数目为8593个，环比下降5%；境内被篡改政府网站数量为127个，环比增长12%；新增信息安全漏洞59个，环比增长48%，其中高危漏洞15个, 比上周增加11个。

　　一、本周重点网络安全事件

　　根据CNCERT监测数据，本周境内被篡改政府网站数量较上周有所增长，截至7月12日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL	所属部门或地区
http://www.gsrc.gov.cn/index.htm	甘肃省
http://www.gdf.gov.cn/CN_JAY.htm	广东省
http://www.hnfp.gov.cn/hackye.txt	湖南省
http://www.hunanmw.gov.cn/index.htm	湖南省
http://www.scpop.gov.cn	四川省
http://www.tjrf.gov.cn/hackye.txt	天津市
http://ks.dzty.gov.cn/hackye.txt	天津市
http://www.aqsj.gov.cn/misafir.htm	安徽省安庆市
http://www.jyslj.gov.cn/datsjyslj/xiangxi.asp?ID= 1530&fenlanmu=%E5%8E%BF%E5%8C%BA	广东省揭阳市
http://www.zqlinye.gov.cn//CN_JAY.htm	广东省肇庆市
http://beihaire.gov.cn/help.asp	广西自治区北海市
http://www.qzjgw.gov.cn/hackye.txt	广西自治区钦州市
http://hkagri.gov.cn/index.htm	海南省海口市
http://www.hbssfj.gov.cn/index.php	河南省鹤壁市
http://www.lhslw.gov.cn/news/funonews.asp?id=366	河南省漯河市
http://zw.shuangyashan.gov.cn/indonesia.txt	黑龙江省双鸭山市
http://www.shffcl.gov.cn/file/1.txt	黑龙江省绥化市
http://www.shjs.gov.cn/DiTuDong/1.txt	黑龙江省绥化市
http://www.shrsbz.gov.cn/Photo/1.txt	黑龙江省绥化市
http://www.hgsl.gov.cn/hackye.txt	湖北省黄冈市
http://szgtzy.gov.cn/index.htm	湖北省随州市
http://www.czsrf.gov.cn/index.htm	湖南省郴州市
http://czradio.gov.cn/index.htm	湖南省郴州市
http://www.czzwzx.gov.cn/admin/	湖南省郴州市
http://oa.zghy.gov.cn/misafir.htm	江苏省淮安市
http://www.xzms.gov.cn/st.txt	江苏省徐州市
http://www.jjyyw.gov.cn/shks/funonews.asp?id=119	江西省九江市
http://sf.ykwjj.gov.cn/index.htm	辽宁省营口市
http://www.ssjy.gov.cn/hackye.txt	内蒙古自治区赤峰市
http://akjy.gov.cn/misafir.htm	陕西省安康市
http://ptsf.shpt.gov.cn/INDEX.HTML	上海市普陀区
http://dtaic.gov.cn/1.htm	四川省德阳市
http://www.nczj.gov.cn/index.htm	四川省南充市
http://nfj.gov.cn/index.htm	四川省南充市
http://www.pzhws.gov.cn/index.htm	四川省攀枝花市
http://www.sncz.gov.cn/index.htm	四川省遂宁市
http://www.ybzs.gov.cn	四川省宜宾市
http://kmtj.km.gov.cn/hackye.txt	云南省昆明市
http://jdgs.gov.cn	浙江省建德市

　　注：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

　　二、本周活跃恶意域名

　　本周，CNCERT重点关注的四组恶意域名如下表所示：1）注册在1s.fr或ze.tc域上，多用于构造恶意跳转链接的恶意域名；2）注册在isgre.at域上，多用于构造恶意跳转链接的恶意域名；3）注册在.info域上，近期最为活跃的恶意域名；4）新增的一组注册在.info域上的恶意域名，据初步判断，该组域名与第三组域名无直接关联。

组别	域名列表
第一组	31c.office.1s.fr、22r.officea.ze.tc
第二组	bbn.isgre.at、bbq.isgre.at、bbt.isgre.at、bce.isgre.at、bcf.isgre.at、bcg.isgre.at、bch.isgre.at、bcj.isgre.at、bck.isgre.at、bcl.isgre.at、bcm.isgre.at、bcn.isgre.at、bco.isgre.at、bcp.isgre.at、bcq.isgre.at、bcr.isgre.at、bcs.isgre.at、bct.isgre.at、bcu.isgre.at
第三组	i.hope2012.info、i.hot-bags.info、i.light2012.info、i.listage.info、i.twohost.info、o.hope2012.info、o.hot-bags.info、o.twohost.info、p.hope2012.info、p.hot-bags.info、p.twohost.info、q.4bh.info、q.7nn.info、q.adba.info、q.cmst.info、q.coln.info、q.light2012.info、q.love2012.info、q.sifly.info、q.sina163.info、r.4bh.info、r.adba.info、r.azca.info、r.cmst.info、r.light2012.info、r.listage.info、r.love2012.info、r.sifly.info、r.sina163.info、t.love2012.info、t.sifly.info、t.sina163.info、u.light2012.info、u.listage.info、u.love2012.info、u.sifly.info、u.sina163.info、w.light2012.info、w.listage.info、w.love2012.info、w.sifly.info、y.light2012.info、y.listage.info、y.love2012.info、y.sifly.info、y.sina163.info、r.4bh.info、w1.ad2312w.com、o.hope2012.info、p.hot-bags.info、p.twohost.info、q.4bh.info、q.adba.info、q.sifly.info、q.sina163.info、r.light2012.info、r.love2012.info、r.sifly.info、r.sina163.info、t.sina163.info、u.light2012.info、u.listage.info、w.light2012.info、w.listage.info、w.sifly.info、y.listage.info、y.love2012.info、i.twohost.info、q.azca.info、q.cmst.info、q.coln.info、r.adba.info
第四组	1a.zice.info、a.17v.info、a.1lz.info、a.zulo.info、baidu.zeop.info、baidu.zice.info、hao123.zeop.info、kugo.zeop.info、sina.zeop.info

　　注：根据微软、中国科技网、奇虎、知道创宇、启明星辰、安天、东软等单位报送的网页挂马信息整理。

　　依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定，本周CNCERT在新网、万网、希网等域名注册服务机构的配合和支持下，对39个在中国大陆注册的恶意域名采取了暂停域名解析服务的处置措施。详细列表如下所示。

处置域名列表

处置原因

apx.2288.org、apz.2288.org、aqa.2288.org、aqe.2288.org、aqf.2288.org、aqg.2288.org、aqh.2288.org、aqj.2288.org、aqk.2288.org、aql.2288.org、aqm.2288.org、aqo.2288.org、12394857132.3322.org、73vak.3322.org、fd105.3322.org、caoliushequ4.3322.org、dsfdffdgd.9966.org、

eluo.3322.org、ft916.8800.org、ghnhgh.3322.org、gytzj.3322.org、

htrhyjukjuik9988.3322.org、pt928.9966.org、r02.3322.org、

r03.3322.org、r04.3322.org、taiping0703.3322.org、taiping0704.3322.org、wodedii69.8866.org、twain329.cn、wodedii72.8866.org、fanfubai.cn、mm.aa88567.cn、ses99s.cn、mm.tt88567.cn、3188jy.cn、gzwls.cn、www.lfang.cn、zaojia0.cn

传播恶意代码

　　三、本周活跃恶意代码

名称	特点
Trojan.DL.PicFrame.a	这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。
Trojan.DL.Giframe.a	这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。不过，目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。
Hack.Exploit.Script.JS.Agent.ju	该病毒采用加密脚本，利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符，普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件，用特定构造的shellcode进行溢出。成功之后，就会打开指定的下载地址，下载其他病毒。
Trojan.DL.Script.VBS.Mnless.e	这是一个经过加密的VBS脚本病毒，病毒解密之后，将会从远程服务器下载文件并执行。
Trojan.Win32.StartPage.pqi	这是一个伪装成专用播放器的病毒。病毒被激活后，会出现假的安装提示，用户一旦点击安装，病毒就会向桌面添加多种快捷方式：如“八卦色图”、“美女视频”、“淘宝网”、“流行音乐”，并将其指向恶意网址（http://v2.cc）。另外，病毒在运行时还会弹出要求用户关闭杀毒软件监控功能的对话框。

　　
　　注：根据瑞星、金山等企业报送的恶意代码信息整理。

　　本周，利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。此外，不要轻易打开网络上不明来源的图片、音乐、视频等文件。

　　四、本周重要安全漏洞

　　本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD漏洞周报（http://www.cnvd.org.cn/reports/list）。

　　1、Adobe Reader/Acrobat存在多个安全漏洞

　　Adobe Reader/Acrobat是Adobe公司开发的PDF文档阅读软件。Adobe Reader/Acrobat存在多个安全漏洞，攻击者可利用漏洞执行特定代码、跨站脚本、拒绝服务等攻击。目前Adobe已经发布更新程序修复了上述漏洞，建议相关用户尽快下载更新。

　　2、KVIrc存在两个安全漏洞

　　KVIrc是一款功能强大的IRC客户端软件。KVIrc存在两个安全漏洞，远程攻击者可利用漏洞执行拒绝服务攻击。目前厂商已经发布更新程序修复了上述漏洞，建议相关用户尽快下载更新。

　　3、LibTIFF应用库存在多个安全漏洞

　　LibTIFF是负责对TIFF图象格式进行编码/解码的应用库。LibTIFF应用库存在多个安全漏洞，攻击者可利用漏洞对应用程序执行拒绝服务攻击。目前厂商已经发布升级补丁修复上述漏洞，建议相关用户尽快下载使用。

　　4、Google Chrome 5.0.375.99之前版本存在多个安全漏洞

　　Google Chrome是Google公司开发的开源WEB浏览器。Chrome 5.0.375.99之前版本存在多个安全漏洞，攻击者诱使用户访问恶意网页后，可执行拒绝服务攻击或获得用户系统控制权。目前Google已经发布升级补丁修复了上述漏洞，建议相关用户尽快下载使用。

　　5、Sandbox存在多个安全漏洞

　　Sandbox是一套采用PHP编写的个人站点工具包。Sandbox存在多个输入验证漏洞，远程攻击者可利用漏洞进行SQL注入攻击、获取敏感信息、上传任意文件等。目前iguanadons.net Sandbox 2.0.4版本已修复了上述漏洞，建议相关用户尽快下载使用。

　　小结：本周CNVD收集的漏洞信息中，Adobe Reader/Acrobat、Google Chrome5.0.375.99之前版本存在的多个严重漏洞，可被攻击者利用来执行特定代码或拒绝服务攻击；Sandbox、LibTIFF应用库、KVIrc客户端软件出现的严重漏洞，均对网民的上网安全造成影响。请广大用户尽快采取防范或修补更新措施，避免引发漏洞相关的安全事件。

　　注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

【打印】【关闭】