1 一、本周网络安全基本态势 本周互联网网络安全态势整体评价为良,相对于上周整体评价为中的情况本周状况有 所好转.我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大 影响的基础设施运行安全事件.针对政府、企业以及广大互联网用户的主要安全威胁来自 于软件高危漏洞、恶意代码传播以及网站攻击. 依据 CNCERT 抽样监测结果和国家信息安全漏洞共享平台(CNVD)1 发布的数据,境 内感染网络病毒2 的终端数约为 292 万个,较上周环比下降 28%;境内被篡改政府网站数量 为87 个,较上周 100 个环比下降 13%;新增信息安全漏洞 112 个,较上周 116 个环比下降 3%,其中高危漏洞 25 个,较上周 29 个减少 4 个. 本周网络病毒活动情况 1、网络病毒监测情况 本周网络病毒活跃程度较上周整体有所回落, 境内被木马控制的主机 IP 地址数目约为 12 万个,与前一周环比下降 10%;境内被僵尸网络控制的主机 IP 地址约为 5.5 万个,环比 增长 32%; 境内感染 Conficker 蠕虫的主机 IP 约为 255 万个, 环比下降 31%; 境内感染 "毒媒"手机病毒的用户约为 19 万,环比下降 6%. 木马和僵尸网络受控主机 IP 在我国大陆的分布情况如下图所示, 其中红色区域是木马 和僵尸网络感染量最多的地区, 排名前三位的分别是广东省 17818 个 (占中国大陆 10.81%) 、 湖南省 12803 个(占中国大陆 7.77%)和山东省 10531 个(占中国大陆 6.39%) . 注1:CNVD 是CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企 业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急 处理体系. 注2:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序. 其中,网络病毒是特指有网络通信行为的恶意代码. 2011 年第 4 期1月17 日-1 月23 日 网络安全信息与动态周报 国家互联网应急中心 良中差危优22、TOP5 活跃网络病毒 本周,中国反网络病毒联盟(ANVA)3 整理发布的活跃恶意代码4 如下表所示.其中, 利用应用软件漏洞、网页挂马进行传播的恶意代码所占比例较高,恶意代码中下载者木马 较为活跃.ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固,安装安全防护软件; 另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不 明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的 外挂程序. 注3:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写 ANVA)是由中国互联网协会网络与信息 安全工作委员会发起、CNCERT 具体组织运作的行业联盟.反网络病毒联盟依托 CNCERT 的技术和资源优势, 通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打 击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平. 注4:根据瑞星、金山、奇虎 360 等企业报送的恶意代码信息整理. 名称 特点 Hack.Exploit.Script.JS.Agent.ju 该病毒采用加密脚本,利用 RealPlayer 播放器的溢出漏洞进行传 播.病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代 码. 病毒通过调用 RealPlayer 组件, 用特定构造的 shellcode 进行溢出. 成功之后,就会打开指定的下载地址,下载其他病毒. Trojan.DL.Script.VBS.Mnless.e 这是一个经过加密的 VBS 脚本病毒,病毒解密之后,将会从远程 服务器下载文件并执行. Trojan.DL.Win32.Undef.ssa 该木马通过网页挂马进行传播,含自删除功能,可释放后门病毒 并将其运行. AdWare.Win32.KKJie.b 该木马通过捆绑下载进行传播,可修改用户 IE 主页. AdWare.Script.VBS.StartPage.g 该木马通过捆绑下载进行传播,可劫持用户浏览器首页. 3 3、网络病毒捕获和传播情况 本周,CNCERT 通过多种渠道获得新增网络病毒名称数为 197 个,网络病毒家族数为 52 个. 网络病毒主要通过网页挂马方式进行传播,其中往往需要利用黑客注册的大量域名. 本周,ANVA 重点关注的四组用于网络病毒传播的恶意域名5如下表所示.其中,第一组恶 意域名涉及多个域,近期一直保持活跃状态;第二组恶意域名多用于网页中的恶意跳转链 接,本周数量明显减少;第三组恶意域名是 CNCERT 近期处置的重点,本周数量也有所减 少;第四组恶意域名为本周新增恶意域名.请各网站管理机构注意检查网站页面中是否被 嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平. 注5:根据 CNCERT 自主监测结果以及微软、奇虎 360、绿盟、联想网御、安天、华为等企业报送的恶意域名 信息整理. 组别 恶意域名列表 域名服务机构 第一组 10f.conna.dtdns.net、10g.conna.dtdns.net、10h.conna.dtdns.net、 10i.conna.dtdns.net、10j.conna.dtdns.net、10t.conna.dtdns.net、 10u.conna.dtdns.net、10x.conna.dtdns.net、12a.conna.dtdns.net、 12b.conna.dtdns.net、12r.conna.dtdns.net、12u.conna.dtdns.net、 12w.conna.dtdns.net、22e.conna.dtdns.net、22f.conna.dtdns.net、 22h.conna.dtdns.net、22r.conna.dtdns.net、26e.conna.dtdns.net、 26n.conna.dtdns.net、26o.conna.dtdns.net、26w.conna.dtdns.net、 26y.conna.dtdns.net、31c.conna.dtdns.net、31d.conna.dtdns.net、 31g.conna.dtdns.net、31i.conna.dtdns.net、31l.conna.dtdns.net、 31o.conna.dtdns.net、31q.conna.dtdns.net、31u.conna.dtdns.net、 31w.conna.dtdns.net、31y.conna.dtdns.net、32h.conna.dtdns.net、 32q.conna.dtdns.net、32r.conna.dtdns.net、32u.conna.dtdns.net、 32v.conna.dtdns.net、32w.conna.dtdns.net、6.conna.dtdns.net、 9c.conna.dtdns.net、h.conna.dtdns.net、12d.conna.dtdns.net、 12h.conna.dtdns.net、22b.conna.dtdns.net、22k.conna.dtdns.net、 22o.conna.dtdns.net、26i.conna.dtdns.net、32a.conna.dtdns.net、 7.conna.dtdns.net、10l.conna.dtdns.net、31j.conna.dtdns.net DIRECTNIC LTD. (境外机构) 31a.office.1s.fr、 31b.office.1s.fr、 31c.office.1s.fr、 31f.office.1s.fr、 31h.office.1s.fr、 31i.office.1s.fr、 31m.office.1s.fr、 31p.office.1s.fr、 31u.office.1s.fr、 31w.office.1s.fr、 32j.office.1s.fr、 32m.office.1s.fr、 32o.office.1s.fr、 32q.office.1s.fr、 32u.office.1s.fr、 32v.office.1s.fr、 32w.office.1s.fr、 32f.office.1s.fr、 32i.office.1s.fr、 32k.office.1s.fr、 26u.office.1s.fr、31v.css91.c4.fr、32d.office.1s.fr OVH (境外机构) 32p.keccs.be.ma、32s.keccs.be.ma、32u.keccs.be.ma、 32v.keccs.be.ma、32w.keccs.be.ma NETWORK SOLUTIONS, LLC(境外机构) 第二组 brl.isgre.at、brn.isgre.at、brq.isgre.at、brt.isgre.at、bfj.isgre.at、 bri.isgre.at sitelutions.com (境外机构) 4 本周网站安全情况6 根据 CNCERT 监测数据, 本周境内被篡改网站数量为 1131 个, 与前一周环比下降 30%, 其中被篡改政府网站数量为 87 个, 环比下降 13%, 截至 1 月24 日12 时仍未恢复的被篡改 政府网站如下表所示. 被篡改网站 所属部门或地区 www.gz12301.gov.cn 贵州省 www.jxmie.gov.cn 江西省 bbs.bzqts.gov.cn 安徽省亳州市 bzqts.gov.cn 安徽省亳州市 www.tlcz.gov.cn 安徽省铜陵市 jq.tlinfo.gov.cn 安徽省铜陵市 www.tljqzx.gov.cn 安徽省铜陵市 www.tlxkj.gov.cn 安徽省铜陵市 szs.tlinfo.gov.cn 安徽省铜陵市 tgs.tlinfo.gov.cn 安徽省铜陵市 www.xmgh.gov.cn 福建省厦门市 yc.gdhygs.gov.cn 广东省河源市 www.lz365.gov.cn 广西自治区柳州市 www.dq12333.gov.cn 黑龙江省大庆市 jjpc.yytj.gov.cn 湖南省岳阳市 www.whds.gov.cn 内蒙古自治区乌海市 zzfda.gov.cn 山东省枣庄市 ptzjw.gov.cn 浙江省舟山市 根据 CNCERT 监测和通信行业报送数据7 ,截至 1 月24 日12 时,仍存在被挂马或被 植入不正当广告链接(如:网络游戏、色情网站链接)的政府网站如下表所示. 注6:政府网站是指英文域名以".gov.cn"结尾的网站,但不排除个别非政府部门也使用".gov.cn"的情况.表 格中仅列出了被篡改网站或被挂马网站的域名,而非具体被篡改或被挂马的页面 URL. 注7:被挂马网站根据 CNCERT 自主监测结果以及微软、奇虎 360、绿盟、联想网御、安天、华为等企业报送 的挂马信息整理. 第三组 asqew653.7766.org、6070.9966.org、fdsjdhszzx1.8866.org、 aiwo194.8800.org、wgpm.3322.org、xinn1.2288.org、 ddddjah1.8800.org、nimadc190.3322.org、6070.9966.org、 vsdfscv890.8866.org、adhuueuuq1.8800.org、xfpm.3322.org、 mfpm.3322.org、aiwo202.8800.org、g36he2s5gf.3322.org、 www.andywu.com、web.rsiylr.com:6668、 nimakfc025.3322.org:171、nimakfc036.3322.org:171 希网网络 (境内机构) 第四组 r.listage.info、 r.love2012.info GoDaddy.com Inc (境外机构) 5 被挂马网站 所属部门或地区 www.iura.gov.cn 陕西省 www.aysrkjsw.gov.cn 河南省安阳市 www.hgda.gov.cn 湖北省黄冈市 www.hlbezjb.gov.cn 内蒙古自治区呼伦贝尔市 www.ljgc.gov.cn 四川省成都市 www.wlhyyyy.gov.cn 浙江省温岭市 jddpc.gov.cn 浙江省建德市 本周事件处理情况 1、本周处理各类事件数量 对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发 现的网络安全事件,CNCERT 根据事件的影响范围和存活性、涉及用户的性质等因素,筛选 重要事件进行处理. 本周,CNCERT 通过与基础电信运营商、域名服务机构的合作机制,以及反网络病毒联 盟(ANVA)的工作机制,共协调处理了网页挂马、网页仿冒等 23 件网络安全事件. 2、本周恶意域名处理情况 依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法 规的规定,本周 ANVA 在新网互联、希网网络、中国万网等域名注册服务机构的配合和支 持下,对20 个在中国大陆注册的、传播网络病毒或从事仿冒活动的恶意域名采取了暂停解 析的处置措施.详细列表如下所示. 处置域名列表 处置原因 bvgrttert569.7766.org、fdsjdhszzx1.8866.org、hbdnf.2288.org、 hnyj8.3322.org、skl8.3322.org、yunkaisoft.go.3322.org、wuwu.9966.org、 Xinjie3.3322.org、iytr8.3322.org、i67tt.3322.org、iytr8.3322.org、 www.hunzu.org、aiwo202.8800.org 传播恶意代码 95566boc.com、www.bochc.com、www.bocqg.com、www.bocty.com、 www.bocvk.com、www.boclm.com、rbstrade.com 网页仿冒 3、本周处理的典型事件 协调处置一起拒绝服务攻击事件 1 月13 日,CNCERT 接到亚太网络安全组织 APCERT 投诉,称位于我国的某主机向境 外的某重要网络设施持续发起拒绝服务攻击,该主机极有可能被黑客控制.接收到事件投诉 后,CNCERT 及时响应,通过主机 IP 所在地区分中心——湖北分中心协调当地基础电信运 6 营企业进行查证.在确认该主机存在恶意网络行为后,立即联系相关用户进行了妥善处理. 协调处置一起网页仿冒事件 1 月18 日, CNCERT 接到国外网络安全组织投诉, 称在我国注册的、 域名为 rbstrade.com 的网站对苏格兰皇家银行网站进行仿冒,实施钓鱼欺诈,对用户账户安全构成严重威胁.经 验证核实, CNCERT 协调该域名的注册机构万网公司依法对该仿冒域名进行了有效处置. 本周重要安全漏洞 本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的 漏洞信息请参见 CNVD 漏洞周报(http://www.cnvd.org.cn/reports/list) . 1、KingSoft 'KisKrnl.sys'驱动存在拒绝服务漏洞 金山毒霸是国内流行的反病毒应用软件.金山毒霸的 KisKrnl.sys 使用钩子函数(hook) 调用了 KiFastCallEntry 入口, 但是在处理用户数据堆栈时跳过了系统的 MmUserProbeAddress 地址判断函数直接去复制堆栈.本地攻击者可以利用漏洞使系统崩溃.经CNVD 跟踪发现, 互联网上已经出现针对这个漏洞的攻击代码.目前,金山公司已经发布了补丁程序修复这个 漏洞,CNVD 提醒广大用户及时下载更新. 2、Oracle 发布公告修复多个安全漏洞 本周,Oracle 发布 2011 年第一个安全更新公告,修复了包括 Oracle 数据库、Fusion Middleware、 Enterprise Manager Suite、 E-Business Suite、 PeopleSoft、 Oracle Sun Products Suite 等多个产品存在的 66 个安全漏洞.攻击者在拥有一定的操作系统或数据库软件权限或在可 以访问特定的数据库软件程序的情况下,能利用漏洞发起远程攻击,导致拒绝服务,严重的 甚至能获得数据库的管理控制权限.提醒相关用户尽快下载安装补丁. 3、MySQL 存在多个安全漏洞 MySQL 是一个小型关系型数据库管理系统.本周,MySQL 出现了多个拒绝服务漏洞, 攻击者可以利用漏洞实施拒绝服务攻击.目前,厂商已经发布了补丁程序修复这些漏洞,提 醒相关用户及时下载更新. 4、IBM 多款产品出现安全漏洞 本周,IBM 的产品 AIX、WebSphere MQ、IBM Tivoli Access Manager for e-business、 WebSphere Application Server 均出现安全漏洞.攻击者可以利用漏洞在受影响的应用程序中 运行任意代码或进行拒绝服务攻击.目前,IBM 已经发布了补丁修复了这些漏洞,提醒相关 用户及时下载更新. 5、Sybase EAServer 存在多个安全漏洞 Sybase EAServer 是一款应用服务器,适用于多层架构的电子门户和互联商务解决方案. 本周,Sybase EAServer 出现两个安全等级为"高"的漏洞,攻击者可以利用漏洞实施执行任 意代码攻击或读取本地系统中的任意文件.目前,厂商已发布了补丁修复了这两个漏洞,提 醒相关用户及时下载更新. 7 小结:本周,金山毒霸 'KisKrnl.sys' 驱动出现拒绝服务漏洞,本地攻击者可以利用这个 漏洞发起恶意攻击,使用户系统崩溃.Oracle 发布 2011 年最新安全公告修复的 Oracle 数据 库、Fusion Middleware、Enterprise Manager Suite、E-Business Suite、PeopleSoft、Oracle Sun Products Suite 等多个产品存在的安全漏洞,以及 MySQL、Sybase EAServer 和IBM 产品出 现的安全漏洞,对互联网用户的信息安全和网络安全构成较为严重的威胁,请使用上述软件 的相关机构和个人及时采取安全防范措施. 二、业界新闻速递 政府监管和政策法规动态 1、网络攻击成为慕尼黑安全会议新议题 新华网消息: 1 月18 日, 慕尼黑安全政策会议主席伊申格尔在柏林举行的新闻发布会上 表示,第47 届慕尼黑安全政策会议将首次新设两大议题,其中的一个议题就是来自互联网 的虚拟攻击带来的威胁.届时,12 个国家和政府的领导人、约40 个国家的外交部长或国防 部长将参加本次会议,共同探讨网络攻击以及国际金融危机等对安全政策的影响. 网络安全事件与威胁 2、注册系统遭黑客入侵,欧盟碳交易暂停一周 欧洲金融网消息:欧盟 1 月19 日发表声明称,因奥地利、波兰、希腊等成员国记录碳 排放额的国家注册系统近日遭黑客入侵,被盗取价值约 2870 万欧元的 200 万碳排放额,并 在碳交易现货市场出售,欧盟宣布暂停该市场交易一周.欧盟委员会已要求各国加强有关系 统的安全保障工作. 3、12 万iPad 用户信息失窃案告破,两黑客或获刑 腾讯科技消息:1 月19 日,美国新泽西州地方检察院和联邦调查局召开新闻发布会,宣 布对盗窃 12 万iPad 用户的电子邮箱地址和其他个人信息的两名黑客提出刑事诉讼.上述盗 窃行为发生于 2010 年6月份,一个自称 Goatse Security 的黑客组织利用自动脚本攻破了 AT&T 的服务器, 盗取了包括许多政府高官和军方要人在内的 iPad 用户电子邮箱地址和其他 个人信息,并声称攻击 AT&T 服务器并窃取用户个人资料的目的是为了向 iPad 用户证明他 们的个人数据并不像他们想象得那样安全.据悉,该两名黑客将被控欺诈和合谋非法侵入他 人计算机两项罪名. 4、USB 线可当攻击工具入侵电脑 cnBeta 网站消息:近日,治梅森大学的研究人员发现,利用 USB 连接智能手机即可向 一台电脑发动进攻并可以暗中获取其中的数据.研究人员称,通过利用普通的 USB 线和智 能手机上的程序,并利用 USB 协议中的一些漏洞,不但可以向电脑传送例如输入字符和鼠 标操作的命令,还可以下载数据、上传恶意软件,从而实现对计算机的完全控制.研究人员 8 表示,该漏洞在 Mac 和Windows 上都存在,在被攻击时用户也很难觉察到不对劲的迹象. 业界动态 5、腾讯、百度、金山联合共建反欺诈网址库 科技日报消息:1 月10 日,面对日益严峻的网购安全威胁,腾讯、百度、金山联合宣布 将共建中国最大的反欺诈网址库, 建立打击虚假网购信息的联动机制, 为广大网民提供及时、 快速的网购安全解决方案.对于反欺诈网址库的运行机制,金山网络副总裁陈勇表示,反欺 诈网址库对恶意欺诈网址的处理流程大体分为三步:(1)百度、腾讯将收集的可疑网址提 交给金山;(2)由金山的云安全服务中心对这些网址进行分析鉴定,并将鉴定后的结果输 入到反欺诈网址库中;(3)百度、腾讯通过使用金山云安全接口,共享反欺诈网址库,将 结果应用到各自的产品中. 9 关于国家互联网应急中心(CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心(英文简称是 CNCERT 或CNCERT/CC)成立于 1999 年9月,是工业和信息化部领导下的国家级网络安 全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,以支撑政府 主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和 安全运行,支援重要信息系统的网络安全监测、预警和处置、国家互联网应急中心在我国 大陆 31 个省、自治区、直辖市设有分中心. 联系我们 如果您对 CNCERT《网络安全信息与动态周报》有何意见或建议,欢迎与我们的编辑 交流. 本期编辑:王营康 网址:www.cert.org.cn Email:cncert_report@cert.org.cn 电话:010-82990680
下载该文档
文档格式:PDF
更新时间:2014-09-19
下载次数:0
点击次数:1
1 一、本周网络安全基本态势 本周互联网网络安全态势整体评价为良,相对于上周整体评价为中的情况本周状况有 所好转.我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大 影响的基础设施运行安全事件.针对政府、企业以及广大互联网用户的主要安全威胁来自 于软件高危漏洞、恶意代码传播以及网站攻击. 依据 CNCERT 抽样监测结果和国家信息安全漏洞共享平台(CNVD)1 发布的数据,境 内感染网络病毒2 的终端数约为 292 万个,较上周环比下降 28%;境内被篡改政府网站数量 为87 个,较上周 100 个环比下降 13%;新增信息安全漏洞 112 个,较上周 116 个环比下降 3%,其中高危漏洞 25 个,较上周 29 个减少 4 个. 本周网络病毒活动情况 1、网络病毒监测情况 本周网络病毒活跃程度较上周整体有所回落, 境内被木马控制的主机 IP 地址数目约为 12 万个,与前一周环比下降 10%;境内被僵尸网络控制的主机 IP 地址约为 5.5 万个,环比 增长 32%; 境内感染 Conficker 蠕虫的主机 IP 约为 255 万个, 环比下降 31%; 境内感染 "毒媒"手机病毒的用户约为 19 万,环比下降 6%. 木马和僵尸网络受控主机 IP 在我国大陆的分布情况如下图所示, 其中红色区域是木马 和僵尸网络感染量最多的地区, 排名前三位的分别是广东省 17818 个 (占中国大陆 10.81%) 、 湖南省 12803 个(占中国大陆 7.77%)和山东省 10531 个(占中国大陆 6.39%) . 注1:CNVD 是CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企 业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急 处理体系. 注2:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序. 其中,网络病毒是特指有网络通信行为的恶意代码. 2011 年第 4 期1月17 日-1 月23 日 网络安全信息与动态周报 国家互联网应急中心 良中差危优22、TOP5 活跃网络病毒 本周,中国反网络病毒联盟(ANVA)3 整理发布的活跃恶意代码4 如下表所示.其中, 利用应用软件漏洞、网页挂马进行传播的恶意代码所占比例较高,恶意代码中下载者木马 较为活跃.ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固,安装安全防护软件; 另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不 明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的 外挂程序. 注3:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写 ANVA)是由中国互联网协会网络与信息 安全工作委员会发起、CNCERT 具体组织运作的行业联盟.反网络病毒联盟依托 CNCERT 的技术和资源优势, 通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打 击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平. 注4:根据瑞星、金山、奇虎 360 等企业报送的恶意代码信息整理. 名称 特点 Hack.Exploit.Script.JS.Agent.ju 该病毒采用加密脚本,利用 RealPlayer 播放器的溢出漏洞进行传 播.病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代 码. 病毒通过调用 RealPlayer 组件, 用特定构造的 shellcode 进行溢出. 成功之后,就会打开指定的下载地址,下载其他病毒. Trojan.DL.Script.VBS.Mnless.e 这是一个经过加密的 VBS 脚本病毒,病毒解密之后,将会从远程 服务器下载文件并执行. Trojan.DL.Win32.Undef.ssa 该木马通过网页挂马进行传播,含自删除功能,可释放后门病毒 并将其运行. AdWare.Win32.KKJie.b 该木马通过捆绑下载进行传播,可修改用户 IE 主页. AdWare.Script.VBS.StartPage.g 该木马通过捆绑下载进行传播,可劫持用户浏览器首页. 3 3、网络病毒捕获和传播情况 本周,CNCERT 通过多种渠道获得新增网络病毒名称数为 197 个,网络病毒家族数为 52 个. 网络病毒主要通过网页挂马方式进行传播,其中往往需要利用黑客注册的大量域名. 本周,ANVA 重点关注的四组用于网络病毒传播的恶意域名5如下表所示.其中,第一组恶 意域名涉及多个域,近期一直保持活跃状态;第二组恶意域名多用于网页中的恶意跳转链 接,本周数量明显减少;第三组恶意域名是 CNCERT 近期处置的重点,本周数量也有所减 少;第四组恶意域名为本周新增恶意域名.请各网站管理机构注意检查网站页面中是否被 嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平. 注5:根据 CNCERT 自主监测结果以及微软、奇虎 360、绿盟、联想网御、安天、华为等企业报送的恶意域名 信息整理. 组别 恶意域名列表 域名服务机构 第一组 10f.conna.dtdns.net、10g.conna.dtdns.net、10h.conna.dtdns.net、 10i.conna.dtdns.net、10j.conna.dtdns.net、10t.conna.dtdns.net、 10u.conna.dtdns.net、10x.conna.dtdns.net、12a.conna.dtdns.net、 12b.conna.dtdns.net、12r.conna.dtdns.net、12u.conna.dtdns.net、 12w.conna.dtdns.net、22e.conna.dtdns.net、22f.conna.dtdns.net、 22h.conna.dtdns.net、22r.conna.dtdns.net、26e.conna.dtdns.net、 26n.conna.dtdns.net、26o.conna.dtdns.net、26w.conna.dtdns.net、 26y.conna.dtdns.net、31c.conna.dtdns.net、31d.conna.dtdns.net、 31g.conna.dtdns.net、31i.conna.dtdns.net、31l.conna.dtdns.net、 31o.conna.dtdns.net、31q.conna.dtdns.net、31u.conna.dtdns.net、 31w.conna.dtdns.net、31y.conna.dtdns.net、32h.conna.dtdns.net、 32q.conna.dtdns.net、32r.conna.dtdns.net、32u.conna.dtdns.net、 32v.conna.dtdns.net、32w.conna.dtdns.net、6.conna.dtdns.net、 9c.conna.dtdns.net、h.conna.dtdns.net、12d.conna.dtdns.net、 12h.conna.dtdns.net、22b.conna.dtdns.net、22k.conna.dtdns.net、 22o.conna.dtdns.net、26i.conna.dtdns.net、32a.conna.dtdns.net、 7.conna.dtdns.net、10l.conna.dtdns.net、31j.conna.dtdns.net DIRECTNIC LTD. (境外机构) 31a.office.1s.fr、 31b.office.1s.fr、 31c.office.1s.fr、 31f.office.1s.fr、 31h.office.1s.fr、 31i.office.1s.fr、 31m.office.1s.fr、 31p.office.1s.fr、 31u.office.1s.fr、 31w.office.1s.fr、 32j.office.1s.fr、 32m.office.1s.fr、 32o.office.1s.fr、 32q.office.1s.fr、 32u.office.1s.fr、 32v.office.1s.fr、 32w.office.1s.fr、 32f.office.1s.fr、 32i.office.1s.fr、 32k.office.1s.fr、 26u.office.1s.fr、31v.css91.c4.fr、32d.office.1s.fr OVH (境外机构) 32p.keccs.be.ma、32s.keccs.be.ma、32u.keccs.be.ma、 32v.keccs.be.ma、32w.keccs.be.ma NETWORK SOLUTIONS, LLC(境外机构) 第二组 brl.isgre.at、brn.isgre.at、brq.isgre.at、brt.isgre.at、bfj.isgre.at、 bri.isgre.at sitelutions.com (境外机构) 4 本周网站安全情况6 根据 CNCERT 监测数据, 本周境内被篡改网站数量为 1131 个, 与前一周环比下降 30%, 其中被篡改政府网站数量为 87 个, 环比下降 13%, 截至 1 月24 日12 时仍未恢复的被篡改 政府网站如下表所示. 被篡改网站 所属部门或地区 www.gz12301.gov.cn 贵州省 www.jxmie.gov.cn 江西省 bbs.bzqts.gov.cn 安徽省亳州市 bzqts.gov.cn 安徽省亳州市 www.tlcz.gov.cn 安徽省铜陵市 jq.tlinfo.gov.cn 安徽省铜陵市 www.tljqzx.gov.cn 安徽省铜陵市 www.tlxkj.gov.cn 安徽省铜陵市 szs.tlinfo.gov.cn 安徽省铜陵市 tgs.tlinfo.gov.cn 安徽省铜陵市 www.xmgh.gov.cn 福建省厦门市 yc.gdhygs.gov.cn 广东省河源市 www.lz365.gov.cn 广西自治区柳州市 www.dq12333.gov.cn 黑龙江省大庆市 jjpc.yytj.gov.cn 湖南省岳阳市 www.whds.gov.cn 内蒙古自治区乌海市 zzfda.gov.cn 山东省枣庄市 ptzjw.gov.cn 浙江省舟山市 根据 CNCERT 监测和通信行业报送数据7 ,截至 1 月24 日12 时,仍存在被挂马或被 植入不正当广告链接(如:网络游戏、色情网站链接)的政府网站如下表所示. 注6:政府网站是指英文域名以".gov.cn"结尾的网站,但不排除个别非政府部门也使用".gov.cn"的情况.表 格中仅列出了被篡改网站或被挂马网站的域名,而非具体被篡改或被挂马的页面 URL. 注7:被挂马网站根据 CNCERT 自主监测结果以及微软、奇虎 360、绿盟、联想网御、安天、华为等企业报送 的挂马信息整理. 第三组 asqew653.7766.org、6070.9966.org、fdsjdhszzx1.8866.org、 aiwo194.8800.org、wgpm.3322.org、xinn1.2288.org、 ddddjah1.8800.org、nimadc190.3322.org、6070.9966.org、 vsdfscv890.8866.org、adhuueuuq1.8800.org、xfpm.3322.org、 mfpm.3322.org、aiwo202.8800.org、g36he2s5gf.3322.org、 www.andywu.com、web.rsiylr.com:6668、 nimakfc025.3322.org:171、nimakfc036.3322.org:171 希网网络 (境内机构) 第四组 r.listage.info、 r.love2012.info GoDaddy.com Inc (境外机构) 5 被挂马网站 所属部门或地区 www.iura.gov.cn 陕西省 www.aysrkjsw.gov.cn 河南省安阳市 www.hgda.gov.cn 湖北省黄冈市 www.hlbezjb.gov.cn 内蒙古自治区呼伦贝尔市 www.ljgc.gov.cn 四川省成都市 www.wlhyyyy.gov.cn 浙江省温岭市 jddpc.gov.cn 浙江省建德市 本周事件处理情况 1、本周处理各类事件数量 对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发 现的网络安全事件,CNCERT 根据事件的影响范围和存活性、涉及用户的性质等因素,筛选 重要事件进行处理. 本周,CNCERT 通过与基础电信运营商、域名服务机构的合作机制,以及反网络病毒联 盟(ANVA)的工作机制,共协调处理了网页挂马、网页仿冒等 23 件网络安全事件. 2、本周恶意域名处理情况 依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法 规的规定,本周 ANVA 在新网互联、希网网络、中国万网等域名注册服务机构的配合和支 持下,对20 个在中国大陆注册的、传播网络病毒或从事仿冒活动的恶意域名采取了暂停解 析的处置措施.详细列表如下所示. 处置域名列表 处置原因 bvgrttert569.7766.org、fdsjdhszzx1.8866.org、hbdnf.2288.org、 hnyj8.3322.org、skl8.3322.org、yunkaisoft.go.3322.org、wuwu.9966.org、 Xinjie3.3322.org、iytr8.3322.org、i67tt.3322.org、iytr8.3322.org、 www.hunzu.org、aiwo202.8800.org 传播恶意代码 95566boc.com、www.bochc.com、www.bocqg.com、www.bocty.com、 www.bocvk.com、www.boclm.com、rbstrade.com 网页仿冒 3、本周处理的典型事件 协调处置一起拒绝服务攻击事件 1 月13 日,CNCERT 接到亚太网络安全组织 APCERT 投诉,称位于我国的某主机向境 外的某重要网络设施持续发起拒绝服务攻击,该主机极有可能被黑客控制.接收到事件投诉 后,CNCERT 及时响应,通过主机 IP 所在地区分中心——湖北分中心协调当地基础电信运 6 营企业进行查证.在确认该主机存在恶意网络行为后,立即联系相关用户进行了妥善处理. 协调处置一起网页仿冒事件 1 月18 日, CNCERT 接到国外网络安全组织投诉, 称在我国注册的、 域名为 rbstrade.com 的网站对苏格兰皇家银行网站进行仿冒,实施钓鱼欺诈,对用户账户安全构成严重威胁.经 验证核实, CNCERT 协调该域名的注册机构万网公司依法对该仿冒域名进行了有效处置. 本周重要安全漏洞 本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的 漏洞信息请参见 CNVD 漏洞周报(http://www.cnvd.org.cn/reports/list) . 1、KingSoft 'KisKrnl.sys'驱动存在拒绝服务漏洞 金山毒霸是国内流行的反病毒应用软件.金山毒霸的 KisKrnl.sys 使用钩子函数(hook) 调用了 KiFastCallEntry 入口, 但是在处理用户数据堆栈时跳过了系统的 MmUserProbeAddress 地址判断函数直接去复制堆栈.本地攻击者可以利用漏洞使系统崩溃.经CNVD 跟踪发现, 互联网上已经出现针对这个漏洞的攻击代码.目前,金山公司已经发布了补丁程序修复这个 漏洞,CNVD 提醒广大用户及时下载更新. 2、Oracle 发布公告修复多个安全漏洞 本周,Oracle 发布 2011 年第一个安全更新公告,修复了包括 Oracle 数据库、Fusion Middleware、 Enterprise Manager Suite、 E-Business Suite、 PeopleSoft、 Oracle Sun Products Suite 等多个产品存在的 66 个安全漏洞.攻击者在拥有一定的操作系统或数据库软件权限或在可 以访问特定的数据库软件程序的情况下,能利用漏洞发起远程攻击,导致拒绝服务,严重的 甚至能获得数据库的管理控制权限.提醒相关用户尽快下载安装补丁. 3、MySQL 存在多个安全漏洞 MySQL 是一个小型关系型数据库管理系统.本周,MySQL 出现了多个拒绝服务漏洞, 攻击者可以利用漏洞实施拒绝服务攻击.目前,厂商已经发布了补丁程序修复这些漏洞,提 醒相关用户及时下载更新. 4、IBM 多款产品出现安全漏洞 本周,IBM 的产品 AIX、WebSphere MQ、IBM Tivoli Access Manager for e-business、 WebSphere Application Server 均出现安全漏洞.攻击者可以利用漏洞在受影响的应用程序中 运行任意代码或进行拒绝服务攻击.目前,IBM 已经发布了补丁修复了这些漏洞,提醒相关 用户及时下载更新. 5、Sybase EAServer 存在多个安全漏洞 Sybase EAServer 是一款应用服务器,适用于多层架构的电子门户和互联商务解决方案. 本周,Sybase EAServer 出现两个安全等级为"高"的漏洞,攻击者可以利用漏洞实施执行任 意代码攻击或读取本地系统中的任意文件.目前,厂商已发布了补丁修复了这两个漏洞,提 醒相关用户及时下载更新. 7 小结:本周,金山毒霸 'KisKrnl.sys' 驱动出现拒绝服务漏洞,本地攻击者可以利用这个 漏洞发起恶意攻击,使用户系统崩溃.Oracle 发布 2011 年最新安全公告修复的 Oracle 数据 库、Fusion Middleware、Enterprise Manager Suite、E-Business Suite、PeopleSoft、Oracle Sun Products Suite 等多个产品存在的安全漏洞,以及 MySQL、Sybase EAServer 和IBM 产品出 现的安全漏洞,对互联网用户的信息安全和网络安全构成较为严重的威胁,请使用上述软件 的相关机构和个人及时采取安全防范措施. 二、业界新闻速递 政府监管和政策法规动态 1、网络攻击成为慕尼黑安全会议新议题 新华网消息: 1 月18 日, 慕尼黑安全政策会议主席伊申格尔在柏林举行的新闻发布会上 表示,第47 届慕尼黑安全政策会议将首次新设两大议题,其中的一个议题就是来自互联网 的虚拟攻击带来的威胁.届时,12 个国家和政府的领导人、约40 个国家的外交部长或国防 部长将参加本次会议,共同探讨网络攻击以及国际金融危机等对安全政策的影响. 网络安全事件与威胁 2、注册系统遭黑客入侵,欧盟碳交易暂停一周 欧洲金融网消息:欧盟 1 月19 日发表声明称,因奥地利、波兰、希腊等成员国记录碳 排放额的国家注册系统近日遭黑客入侵,被盗取价值约 2870 万欧元的 200 万碳排放额,并 在碳交易现货市场出售,欧盟宣布暂停该市场交易一周.欧盟委员会已要求各国加强有关系 统的安全保障工作. 3、12 万iPad 用户信息失窃案告破,两黑客或获刑 腾讯科技消息:1 月19 日,美国新泽西州地方检察院和联邦调查局召开新闻发布会,宣 布对盗窃 12 万iPad 用户的电子邮箱地址和其他个人信息的两名黑客提出刑事诉讼.上述盗 窃行为发生于 2010 年6月份,一个自称 Goatse Security 的黑客组织利用自动脚本攻破了 AT&T 的服务器, 盗取了包括许多政府高官和军方要人在内的 iPad 用户电子邮箱地址和其他 个人信息,并声称攻击 AT&T 服务器并窃取用户个人资料的目的是为了向 iPad 用户证明他 们的个人数据并不像他们想象得那样安全.据悉,该两名黑客将被控欺诈和合谋非法侵入他 人计算机两项罪名. 4、USB 线可当攻击工具入侵电脑 cnBeta 网站消息:近日,治梅森大学的研究人员发现,利用 USB 连接智能手机即可向 一台电脑发动进攻并可以暗中获取其中的数据.研究人员称,通过利用普通的 USB 线和智 能手机上的程序,并利用 USB 协议中的一些漏洞,不但可以向电脑传送例如输入字符和鼠 标操作的命令,还可以下载数据、上传恶意软件,从而实现对计算机的完全控制.研究人员 8 表示,该漏洞在 Mac 和Windows 上都存在,在被攻击时用户也很难觉察到不对劲的迹象. 业界动态 5、腾讯、百度、金山联合共建反欺诈网址库 科技日报消息:1 月10 日,面对日益严峻的网购安全威胁,腾讯、百度、金山联合宣布 将共建中国最大的反欺诈网址库, 建立打击虚假网购信息的联动机制, 为广大网民提供及时、 快速的网购安全解决方案.对于反欺诈网址库的运行机制,金山网络副总裁陈勇表示,反欺 诈网址库对恶意欺诈网址的处理流程大体分为三步:(1)百度、腾讯将收集的可疑网址提 交给金山;(2)由金山的云安全服务中心对这些网址进行分析鉴定,并将鉴定后的结果输 入到反欺诈网址库中;(3)百度、腾讯通过使用金山云安全接口,共享反欺诈网址库,将 结果应用到各自的产品中. 9 关于国家互联网应急中心(CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心(英文简称是 CNCERT 或CNCERT/CC)成立于 1999 年9月,是工业和信息化部领导下的国家级网络安 全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,以支撑政府 主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和 安全运行,支援重要信息系统的网络安全监测、预警和处置、国家互联网应急中心在我国 大陆 31 个省、自治区、直辖市设有分中心. 联系我们 如果您对 CNCERT《网络安全信息与动态周报》有何意见或建议,欢迎与我们的编辑 交流. 本期编辑:王营康 网址:www.cert.org.cn Email:cncert_report@cert.org.cn 电话:010-82990680