本周网络安全基本态势(8月2日-8月8日)
【字体:  
 
  本周互联网网络安全态势整体评价为优。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为6.4万个,同种类木马感染量与前一周环比下降16%;境内被僵尸网络控制的主机IP地址数目为6478个,环比下降40%;境内被篡改政府网站数量为72个,环比下降31%;新增信息安全漏洞30个,环比下降49%,其中高危漏洞3个, 比上周增加 2个。

  注1:与上周相比,本周调整了木马监测范围,总数变更为64种木马。为保证数据的可比性,仍取近两周相同种类木马的监测数据做环比分析。
  
  一、本周被篡改政府网站情况

  根据CNCERT监测数据,本周境内被篡改政府网站数量为72个,较上周有所下降,截至8月9日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL

所属部门或地区

http://aqzw.gov.cn/default.asp

安徽省安庆市

http://www.hzxf.gov.cn/r00t.htm

广西自治区贺州市

http://www.zhq.gov.cn/zorro.htm

河南省平顶山市

http://dxally.gov.cn/index.htm

黑龙江省大兴安岭地区

http://www.sysld.gov.cn/index.htm

黑龙江省双鸭山市

http://www.sfhcgj.gov.cn/sbhack.txt

黑龙江省绥芬河市

http://szgtzy.gov.cn/index.htm

湖北省随州市

http://whlsj.gov.cn/newfile.asp

湖北省武汉市

http://old.xfjt.gov.cn/index.asp

湖北省襄樊市

http://yuanjiang.gov.cn/test.asp

湖南省沅江市

http://www.zzslj.gov.cn/1.htm

湖南省株洲市

http://www.zxst.gov.cn/zorro.htm

湖南省资兴市

http://www.alstax.gov.cn/index.htm

内蒙古自治区阿拉善盟

http://www.cfhsrkw.gov.cn/default.asp

内蒙古自治区赤峰市

http://www.hmzw.gov.cn/default.asp

山西省侯马市

http://zx.shzb.gov.cn/hex.htm

上海市闸北区

http://lzsjcy.gov.cn

四川省阆中市

http://jdgs.gov.cn

浙江省建德市

http://asd.cq.gov.cn/index.htm

重庆市沙坪坝区


  注2:CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。

  二、本周恶意代码活动情况

  1、本周活跃恶意代码

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,与播放器相关的恶意代码活跃程度有所增强。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件。此外,不要轻易打开网络上来源不明的图片、音乐、视频等文件。

名称

特点

Trojan.DL.Giframe.a

这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。

Trojan.DL.PicFrame.a

这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Trojan.DL.Script.VBS.Mnless.e

这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。

Hack.Exploit.Script.JS.Agent.ju

该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。

Trojan.Win32.StartPage.pqi

         这是一个伪装成专用播放器的病毒。病毒被激活后,会出现假的安装提示,用户一旦点击安装,病毒就会向桌面添加多种快捷方式:如八卦色图美女视频淘宝网流行音乐,并将其指向恶意网址(http://v2.cc)。另外,病毒在运行时还会弹出要求用户关闭杀毒软件监控功能的对话框。

  
  注3:根据瑞星、金山等企业报送的恶意代码信息整理。

  2、本周活跃恶意域名

  本周,ANVA重点关注的四组恶意域名如下表所示,这四组恶意域名均为近期较为活跃的恶意域名组。其中,前三组域名是注册于国外域名注册商的动态域名组,第四组域名则是注册在2288.org域上的动态域名组。

组别

域名列表

第一组

31l.office.1s.fr31m.office.1s.fr31n.office.1s.fr31o.office.1s.fr10p.officea.ze.tc26j.inc.0rg.fr31l.conna.dtdns.net31l.css45.fr.ht31l.css66.qc.cx31m.conna.dtdns.net31m.css45.fr.ht31m.css66.qc.cx31n.conna.dtdns.net31n.css45.fr.ht31n.css66.qc.cx31o.conna.dtdns.net31o.css45.fr.ht31o.css66.qc.cx31h.conna.dtdns.net

第二组

bep.isgre.atbeq.isgre.atber.isgre.atbes.isgre.atbet.isgre.atbev.isgre.atbew.isgre.atbex.isgre.atbey.isgre.atbez.isgre.atbfa.isgre.atbfb.isgre.atbfc.isgre.atbfd.isgre.atbfe.isgre.atbff.isgre.atbfg.isgre.atbfh.isgre.atbfi.isgre.atbfj.isgre.atbfl.isgre.atbfm.isgre.atzfo.rr.nuzfp.rr.nuzfr.rr.nuzfu.rr.nu

第三组

163.com.wwvv.us263.net.wwvv.userrors.9966.org.wwvv.usmeinv.wwvv.usqddq.ww.wwvv.usqdq.ww.wwvv.usqq.ww.wwvv.ussina.com.wwvv.usw212.2.wwvv.usw2f.22.wwvv.usw2w.2.wwvv.uswww.baidu.cn.wwvv.uswww.baidu.com.wwvv.us

第四组

awm.2288.orgawq.2288.orgaxb.2288.orgaxm.2288.orgaxo.2288.orgaxp.2288.orgaxq.2288.orgaxr.2288.orgaxu.2288.orgaxv.2288.orgaxx.2288.orgaxy.2288.orgaxz.2288.orgayb.2288.orgayd.2288.orgayg.2288.orgayh.2288.orgayj.2288.orgayk.2288.orgayl.2288.orgaym.2288.orgayn.2288.orgayo.2288.orgayq.2288.orgayr.2288.orgays.2288.orgayz.2288.orgaza.2288.org


  注4:根据CNCERT自主监测以及微软、中国科技网、绿盟、奇虎、知道创宇、联想网御、启明星辰、安天、东软、安信华等单位报送的挂马信息整理。

      注5:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。

  三、本周事件处理情况

  1、本周处理各类事件数量

  对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。

  本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了64件网络安全事件。

  2、本周恶意域名处理情况

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在希网、万网等域名注册服务机构的配合和支持下,对59个在中国大陆注册的、传播网络病毒的恶意域名采取了暂停解析的处置措施。详细列表如下所示。

处置域名列表

处置原因

232lgk.3322.org232ayfk.3322.orgawv.2288.org234atg.3322.orgawm.2288.orgawo.2288.orggooglenum5.3322.orgawe.2288.orgaxb.2288.orgaxg.2288.orgaxi.2288.orgaxj.2288.orgaxl.2288.orgaxm.2288.orgaxp.2288.orgaxq.2288.orgaxr.2288.org232ogh.3322.org232ajf.3322.orgave.2288.org11c11c.2288.org11d11d.2288.org11e11e.2288.org1v2v.2288.org1vd8.3322.org36016.2288.org36016.7766.org36018.6600.org36019.9966.org36021.6600.org6f6f.6600.org7f7f.6600.orgawk.2288.orgawl.2288.orgaxd.2288.orgdsfagehrtjtuk.8866.orgfengmi65.3322.orgfgjgkjhlkl.3322.orggaagle.8866.orggoogale.8866.orghejianfei1.3322.orgjizi21.3322.orgjizi22.3322.orgjizi24.3322.orgjizi25.3322.orgjizi34.3322.orgjizi35.3322.orgjizi36.3322.orgjizi9.3322.orgkkcnzs1.8800.orgkkkzxs1.9966.orgpinguo10.3322.orgpinguo26.3322.orgpinguo29.3322.orgpinguo35.3322.orgpinguo40.3322.orgpinguo42.3322.orgpinguo44.3322.orgqudkjfkd.3322.org

传播恶意代码


  四、本周重要安全漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报(http://www.cnvd.org.cn/reports/list)。

  1、Cisco多个产品存在安全漏洞

  Cisco防火墙服务模块、自适应安全设备和无线控制系统均出现安全漏洞,攻击者利用漏洞可进行拒绝服务攻击,并以应用程序权限执行特定代码。目前Cisco已发布更新程序修复上述安全漏洞,建议相关用户尽快下载更新。

  2、Adobe Reader/Acrobat存在字体解析远程代码执行漏洞

  Adobe Reader/Acrobat是Adobe公司开发的PDF文档阅读/编辑软件。Adobe Reader/Acrobat在解析TrueType字体中"maxp" (Maximum Profile)表的"maxCompositePoints"字段时,CoolType.dll存在整数溢出错误,攻击者可通过诱使用户打开经特殊构建TrueType字体的PDF文件,达到更改用户内存数据的目的。目前Adobe尚未发布相应的升级补丁,建议相关用户继续关注厂商主页以获取修补方案。

  3、Novell iPrint客户端存在多个安全漏洞

  Novell iPrint 客户端打印解决方案允许用户向网络打印机发送文档,其存在的多个安全漏洞允许攻击者以当前运行浏览器用户的权限执行特定代码。目前厂商已发布补丁程序修复上述安全漏洞,建议相关用户尽快下载使用。

  4、SigPlus Pro ActiveX控件存在缓冲区溢出漏洞

  SigPlus Pro ActiveX控件是一款用于电子签名的应用插件。SigPlus Pro ActiveX控件(SigPlus.ocx)未正确处理传送给LCDWriteString()方式的HexString参数,如果用户受骗访问了恶意网页并传送超长字符串参数便可触发栈溢出,导致执行特定代码。目前SigPlus Pro ActiveX Control 3.95已经修复了该安全漏洞,建议相关用户尽快下载使用。

  小结:本周CNVD收集的漏洞信息中,除Adobe Reader/Acrobat存在的字体解析远程代码执行漏洞尚未发布补丁或更新程序外,其它漏洞信息已有相应的安全补丁或更新程序。这些漏洞对国内相关用户的信息安全和公共互联网网络安全构成了一定威胁,请使用以上软件的相关机构和个人及时采取安全防范措施。

  注6:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804