本周网络安全基本态势(8月9日-8月15日)
【字体:  
 
  本周互联网网络安全态势整体评价为优。我国互联网基础设施运行整体平稳,但甘肃省甘南藏族自治州舟曲县因突发特大泥石流灾害,当地公众通信受到严重影响。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为4.1万个,与前一周环比下降36%;境内被僵尸网络控制的主机IP地址数目为5773个,环比下降11%;境内被篡改政府网站数量为53个,环比下降26%;新增信息安全漏洞90个,环比增长200%,其中高危漏洞14个, 比上周增加 11个。

  本周,CNCERT组织基础电信运营商、域名注册管理和服务机构对网上木马和僵尸网络开展了专项清理,共成功处置木马和僵尸网络控制服务器599个。专项清理之后,境内木马、僵尸网络受控端数量与前一天相比分别下降40.2%和50.7%,境内木马、僵尸网络控制端数量分别下降4.7%和26.7%。网上僵尸网络活跃程度的明显下降,净化了我国互联网网络环境,降低了网民遭受攻击的风险。

  一.本周被篡改政府网站情况

  根据CNCERT监测数据,本周境内被篡改政府网站数量为53个,较上周有所下降,截至8月16日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL

所属部门或地区

http://www.fjsafety.gov.cn/index.htm

福建省

http://sg.gpl.gov.cn/default.asp

甘肃省

http://jiaoliu.gpl.gov.cn/default.asp

甘肃省

http://www.gzforestry.gov.cn/index.htm

贵州省

http://beihaire.gov.cn/help.asp

广西自治区北海市

http://hkagri.gov.cn/index.htm

海南省海口市

http://bm.yindu.gov.cn/hex.htm

河南省安阳市

http://fzyj.yindu.gov.cn/hex.htm

河南省安阳市

http://ydbm.gov.cn/hex.htm

河南省安阳市

http://www.ydczw.gov.cn/index.htm

河南省安阳市

http://www.zhq.gov.cn/1.htm

河南省平顶山市

http://www.czsrf.gov.cn/index.htm

湖南省郴州市

http://www.lyate.gov.cn/index.asp

湖南省浏阳市

http://asxf.gov.cn/index.htm

辽宁省鞍山市

http://www.wds.gov.cn/ws/logo.asp

内蒙古自治区乌兰浩特市

http://www.gczj.gov.cn/logo.asp

内蒙古自治区兴安盟

http://www.guihua.gov.cn/liuyan/logo.asp

内蒙古自治区兴安盟

http://www.hmzw.gov.cn/index.htm

山西省侯马市

http://www.slsfda.gov.cn/indonesia.txt

陕西省商洛市

http://ybzs.gov.cn

四川省宜宾市


  注:CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。

  二.本周恶意代码活动情况

  1、本周活跃恶意代码

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,与输入法程序相关的恶意代码活跃程度有所增强。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件。此外,不要轻易打开网络上来源不明的图片、音乐、视频等文件。

名称

特点

Trojan.DL.Giframe.a

这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。

Trojan.DL.PicFrame.a

这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Trojan.DL.Script.VBS.Mnless.e

这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。

Hack.Exploit.Script.JS.Agent.ju

该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。

Trojan.Win32.FakeIME.d

    这是一个伪装成输入法程序的病毒,病毒运行后,可向用户系统中载入一个带毒的动态链接库(DLL)。                         

  
  注:根据瑞星、金山等企业报送的恶意代码信息整理。

  2、本周活跃恶意域名

  本周,ANVA重点关注的五组恶意域名如下表所示。通常,黑客不会直接挂载恶意代码可执行文件进行网页挂马,而是会在网站上挂载恶意跳转链接,通过恶意跳转链接致使网页浏览器转而执行触发漏洞、下载可执行文件等操作。因此,网站管理员可通过排查网页是否被嵌入非正常链接来判定网站是否已被黑客渗透或存在可被利用的漏洞。

组别

域名列表

第一组

bfi.isgre.atbfj.isgre.atbfk.isgre.atbfl.isgre.atbfm.isgre.atbfn.isgre.atbfo.isgre.atbfp.isgre.atbfq.isgre.atbfr.isgre.atbfs.isgre.atbfu.isgre.atbfw.isgre.atbfx.isgre.atbdt.isgre.atbed.isgre.atbfa.isgre.atbgb.isgre.atbfy.isgre.atbft.isgre.atbfi.isGre.atbfk.isGre.atbfl.isGre.atbfm.isGre.atbfu.isGre.atbfw.isGre.atbfx.isGre.atzgm.rr.nuzhe.rr.nuzhy.rr.nu

第二组

agp.2288.orgagx.2288.orgagy.2288.orgayo.2288.orgayv.2288.orgayw.2288.orgayx.2288.orgayy.2288.orgazb.2288.orgazd.2288.orgaze.2288.orgazf.2288.orgazh.2288.orgazj.2288.orgazk.2288.orgazm.2288.orgazn.2288.orgazp.2288.orgazq.2288.orgazr.2288.orgazv.2288.orgazx.2288.orgazy.2288.orgazz.2288.orgbae.2288.orgbah.2288.orgbaj.2288.orgbak.2288.orgbal.2288.orgbaq.2288.orgbas.2288.orgbav.2288.orgbax.2288.orgbbv.2288.orgbca.2288.orgbcf.2288.orgbcg.2288.orgbch.2288.orgbci.2288.orgbcj.2288.orgbck.2288.orgbcl.2288.orgbcm.2288.orgbcn.2288.orgbco.2288.orgbcp.2288.orgbcq.2288.orgbcr.2288.org

第三组

hmv.xorg.plhmw.xorg.plhnh.xorg.plhnj.xorg.plhnk.xorg.plhnl.xorg.plhnn.xorg.plhno.xorg.plhns.xorg.plhnx.xorg.plhny.xorg.plhnz.xorg.plhoc.xorg.pli81.xorg.pli90.xorg.plj06.xorg.plj09.xorg.pl

第四组

163.com.wwvv.userrors.9966.org.wwvv.usmeinv.wwvv.usqddq.ww.wwvv.usqdq.ww.wwvv.usqq.ww.wwvv.ussina.com.wwvv.usw2f.22.wwvv.usw2f.22d1.wwvv.usw2w.2.wwvv.usw2w.2we.wwvv.uswww.2.wwvv.uswww.baidu.cn.wwvv.uswww.baidu.com.wwvv.us

第五组

31o.css66.qc.cx31p.conna.dtdns.net31p.css45.fr.ht31p.css66.qc.cx31p.inc.ass0.fr31p.office.1s.fr31q.conna.dtdns.net31q.css45.fr.ht31q.css66.qc.cx31q.office.1s.fr


  注:根据CNCERT自主监测以及微软、中国科技网、绿盟、奇虎、知道创宇、联想网御、启明星辰、安天、东软、安信华等单位报送的挂马信息整理。

  注:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。
  
  三.本周事件处理情况

  1、本周处理各类事件数量

  对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。

  本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了92件网络安全事件。

  2、本周恶意域名处理情况

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在万网、新网数码、希网等域名注册服务机构的配合和支持下,对62个在中国大陆注册的、传播网络病毒的恶意域名采取了暂停解析的处置措施。详细列表如下所示。

处置域名列表

处置原因

www.dertoplon.comwww.sosanni.comwww.tiaowg.com775885.netdianfengge.comtoji0701.3322.orghjhqe45.3322.orgmapptv.3322.orgmbpptv.3322.orgmzpm.3322.orgmk850001.3322.orgsffs32.3322.orgrr850001.3322.orgrr850004.3322.orgmingzi1688.3322.orgmk850002.3322.org888555jjjyyaa.3322.orgbfa1.3322.orgbfa2.3322.orgdadudu369aa.3322.orgeri5.3322.orgzjgspw55.3322.orgwww.kuluo.nettj.xoqvod.comeset.qq51181.cn33.89.2iis.net12.18ads.comwww.222fu.comwww.4568908.comagx.2288.org

610sf.com23lj.netafretroactive.comagrofee.comwww.23lj.net

bgroundplatt.comwww.55l.com.fastwebcdn.combas.2288.orgwww.qqpvp.comguaishiw.comzjgstqh.combbv.2288.org www.4gameranking.comkwaizi.w63.cndns2.combav.2288.org www.bearingmake.comwww.tyypzm.comgo.3322.org

aimeblog.comwww.ybhbjc.comjyms0347.w83.cnnicidc.comwww.anmo-tianjin.comw.wg-258.comgamepaslog.com

bax.2288.orgkao184.yekidme.3322.orglijun01.3322.orgtaiping0705.3322.orgamjc.3322.org

传播恶意代码

shlingjie.netwow-account-support-battle.dipns.netwww.miibeian.org.cn

网络仿冒


  3、本周处理的典型事件

  (1)CNCERT成功处理利用“Google Code”在线服务传播恶意代码的新型事件

  8月9日,CNCERT接到支撑单位——知道创宇公司报告,称其发现网上有黑客利用Google Code提供的免费存储空间来传播恶意代码。Google Code是谷歌公司官方的开发者网站,包含各种开发技术的API、开发工具、以及开发技术参考资料,许多程序员利用该网站建立、管理、开发软件项目,搜寻下载可以重复利用的免费程序等。接到报告,CNCERT对该事件进行了快速地分析、验证,并紧急联系Google公司对存放恶意代码的空间进行了有效地清除。

  (2)CNCERT协调处理2起典型的网络仿冒事件

  8月9日,CNCERT接到来自美国网络安全机构的投诉,称在我国注册的、域名为“http://shlingjie.net/”的网站对美国TD银行实施网络仿冒,窃取该银行客户的账号资料信息。经验证核实后,CNCERT协调该域名的注册机构万网公司依法暂停了仿冒域名的解析服务。

  8月13日,CNCERT接到用户投诉,称在我国注册的、URL为“http://wow-account-support-battle.dipns.net/login/”的页面仿冒热门网络游戏“魔术世界”的登陆页面,试图骗取游戏玩家的账户信息。经验证核实后,CNCERT协调域名注册机构新网数码公司依法暂停该仿冒域名的解析服务。

   四.本周重要安全漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报(http://www.cnvd.org.cn/reports/list)。

  1、Adobe多个产品存在安全漏洞

  Adobe的Flash Media Server、Flash Player/AIR和ColdFusion等多个产品存在安全漏洞,攻击者可利用漏洞进行拒绝服务攻击或以应用程序权限执行特定代码。目前Adobe已经发布补丁程序修复上述安全漏洞,建议相关用户尽快下载使用。

  2、Cisco ACE和WCS存在多个安全漏洞

  Cisco应用控制引擎(ACE)是一套负载平衡和应用交付产品组合的解决方案,Cisco无线控制系统(WCS)是支持高性能应用程序和关键任务的解决方案。这两款产品存在多个安全漏洞,攻击者可利用漏洞执行拒绝服务攻击。目前Cisco已经发布安全公告(cisco-sa-20100811-wcs)修复上述安全漏洞,建议相关用户尽快下载更新。

  3、Mozilla Bugzilla存在多个安全漏洞

  Mozilla Bugzilla是一款基于Web的BUG跟踪系统。Mozilla Bugzilla存在多个安全漏洞,攻击者可利用漏洞执行拒绝服务攻击。目前Buzilla 3.2.8、 3.4.8、3.6.2和3.7.3版本已经修复上述安全漏洞,建议相关用户尽快下载使用。

  4、Foxit Reader存在 FreeType2 CFF字体解析漏洞

  Foxit Reader(福昕阅读器)是一款PDF文件阅读器。Foxit Reader使用FreeType2代码解析CFF字体某些操作码时存在错误,攻击者可通过诱使用户打开经特殊构建的PDF文件,以应用程序权限执行任意指令。目前Foxit Reader 4.1.1已经修复该漏洞,建议相关用户尽快下载使用。

  小结:本周,Adobe和Cisco多款产品、Mozilla BUG跟踪系统、福昕阅读器均曝出安全漏洞,这些漏洞可被攻击者利用实施远程或本地网络攻击,对国内相关用户的信息安全和公共互联网网络安全构成了一定威胁,请使用以上软件的相关机构和个人及时采取安全防范措施。

  注:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804