国家互联网应急中心 网络安全信息与动态周报 2011 年第 16 期 4 月 11 日 -4 月 17 日 一 本周网络安全基本态势 优 良中差危 本周互联网网络安全指数整体评价为中 我国互联网基础设施运行整体平稳, 全国范 围或省级行政区域内未发生造成重大影响的基础设施运行安全事件 针对政府 企业以及 广大互联网用户的主要安全威胁来自于软件高危漏洞 恶意代码传播以及网站攻击 依据 CNCERT 抽样监测结果和国家信息安全漏洞共享平台 (CNVD) 1 发布的数据, 境 2 内感染网络病毒的主机数约为 370 万个, 较上周环比下降 3%; 境内被篡改网站数量为 1024 个, 较上周大幅增加 114%, 其中被篡改政府网站数量为 67 个, 较上周 57 个增加 10 个 ; 新增信息安全漏洞 101 个, 较上周 54 个环比大幅增加 87%, 其中高危漏洞 59 个, 较上周 12 个增加 47 个 本周网络病毒活动情况 1 网络病毒监测情况 本周境内感染网络病毒的主机数约为 370 万个, 较上周环比下降 3% 其中, 境内被木马控制的主机约为 39 万个, 与前一周环比下降 11%; 境内被僵尸网络控制的主机约为 1.8 万个, 与前一周环比下降 83%, 主要原因是某一大型僵尸网络规模较上周大幅下降 ; 境内感染飞客 (Conficker) 蠕虫的主机约为 329 万个, 环比增加 0.2% 木马和僵尸网络受控主机在我国大陆的分布情况如下图所示, 其中红色区域是木马和僵尸网络感染量最多的地区, 排名前三位的分别是广东省约 3.3 万个 ( 占中国大陆 9.9%) 江苏省约 3.2 万个 ( 占中国大陆 9.7%) 和山东省约 2 万个 ( 占中国大陆 6.2%) 注 1:CNVD 是 CNCERT 联合国内重要信息系统单位 基础电信运营商 网络安全厂商 软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集 发布 验证 分析等应急处理体系 注 2: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当目的的程序 其中, 网络病毒是特指有网络通信行为的恶意代码 1
2 TOP5 活跃网络病毒 本周, 中国反网络病毒联盟 (ANVA) 3 4 整理发布的活跃恶意代码如下表所示 其中, 利用网页挂马 捆绑下载进行传播的恶意代码所占比例较高, 病毒仍多以利用系统漏洞的 方式对系统进行攻击 ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固, 安装安 全防护软件 ; 另一方面, 建议互联网用户使用正版的操作系统和应用软件, 不要轻易打开 网络上来源不明的图片 音乐 视频等文件, 不要下载和安装一些来历不明的软件, 特别 是一些所谓的外挂程序 名称 Trojan.DL.Script.JS.Agent.qz Hack.Exploit.Script.JS.Agent.ju Trojan.Win32.Fedwj.v AdWare.Win32.Fednu.dg Trojan.Win32.StartPage.pul 特点该脚本病毒通过网页挂马进行传播, 可创建指向病毒网站的超链接 该病毒采用加密脚本, 利用 RealPlayer 播放器的溢出漏洞进行传播 病毒会将网页脚本加密成乱码字符, 普通用户很难识别是病毒代码 病毒通过调用 RealPlayer 组件, 用特定构造的 shellcode 进行溢出 成功之后, 就会打开指定的下载地址, 下载其他病毒 该木马通过捆绑下载进行传播, 可修改用户主页, 破坏杀软功能 该木马通过捆绑下载进行传播, 可修改 QQ.exe 并运行 该木马通过网页挂马进行传播, 可修改用户主页 注 3: 中国反网络病毒联盟 (China Anti-Network Virus Alliance, 缩写 ANVA) 是由中国互联网协会网络与信息安全工作委员会发起 CNCERT 具体组织运作的行业联盟 反网络病毒联盟依托 CNCERT 的技术和资源优势, 通过社会化机制组织开展互联网网络病毒防范 治理相关的信息收集发布 技术研发交流 宣传教育 联合打击等工作, 并面向社会提供信息咨询 技术支持等服务, 以净化公共互联网网络环境, 提升互联网网络安全水平 注 4: 根据瑞星 金山 奇虎 360 等企业报送的恶意代码信息整理 2
3 网络病毒捕获和传播情况 本周,CNCERT 通过多种渠道获得新增网络病毒文件数 25669 个, 对这些文件按网络病毒名称数统计为 224 个, 按网络病毒家族数统计为 16 个 网络病毒主要通过对一些防护比较薄弱或者访问量较大的网站进行网页挂马的方式进行传播 当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后, 会经过多级跳转暗中连接黑客最终 放马 的站点下载网络病毒 这些放马站点是网络病毒散播的源头, 是黑色地下产业链中非常重要的一个环节 本周,CNCERT 监测发现排名前五的活跃放马站点域名和活跃放马站点 IP 分别如下两表所示 排序活跃放马站点域名 1 www.002.la 2 v.u3n.info 3 471.tzwxr.info 4 soft.jdbbx.com 5 net.jajaca.com 排序活跃放马站点 IP 1 222.81.35.201 2 204.45.108.10 3 174.127.79.107 4 121.11.150.90 5 121.11.76.58 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 本周,ANVA 重点关注 5 的三组用于网络病毒传播的恶意域名如下表所示 其中, 第一组恶意域名, 本周数量比上 周有所增加 ; 第二组恶意域名绝大多数为免费域名, 本周数量有所增加 不法分子为降低 传播网络病毒的成本往往申请大量的免费域名, 所以免费域名注册机构成为域名安全管理 的重点 ; 第三组为本周新增恶意域名 请各网站管理机构注意检查网站页面中是否被嵌入 含有下述恶意域名的 URL, 并及时修补漏洞, 加强网站的安全防护水平, 不要无意中成为 传播网络病毒的 帮凶 组别恶意域名列表域名服务机构 第一组 第二组 bce.3-a.net bch.3-a.net bck.3-a.net bcl.3-a.net bcn.3-a.net bco.3-a.net bcp.3-a.net bbb.3-a.net bbf.3-a.net bbg.3-a.net NETWORK bbi.3-a.net bbk.3-a.net bbl.3-a.net bbm.3-a.net bbn.3-a.net SOLUTIONS, bbo.3-a.net bbp.3-a.net bbq.3-a.net bbr.3-a.net bbt.3-a.net LLC( 境外机构 ) bbv.3-a.net bbz.3-a.net bby.3-a.net bca.3-a.net bcb.3-a.net bcd.3-a.net chunan004.7766.org xishuai.8866.org xishuais.9966.org 222w45tavfrsdsd.bl98olm.8866.org 360.ba10rop.8866.org 希网网络 j76yju.3322.org j76yju.3322.org xishuai.9966.org ( 境内机构 ) xishuais.8866.org nihao14hao.3322.org huangjs.8866.org vdd4.8866.org vbd1.8866.org liuliang20.8866.org 注 5: 根据 CNCERT 自主监测结果以及奇虎 360 微软 安天 网御星云 绿盟 安信华等企业报送的恶意域名信息整理 3
第三组 gffd123.8800.org fwerfadf657.7766.org hy65h.3322.org xuxiao1234.3322.org 1.iolfrrg.10dig.net 2.iolfrrg.10dig.net bnghyf.10dig.net hythfu.10dig.net iolfrrg.10dig.net hytjuj.10dig.net GoDaddy.com Inc ( 境外机构 ) 6 本周网站安全情况 根据 CNCERT 监测数据, 本周境内被篡改网站数量为 1024 个, 与前一周环比增加 114% 境内被篡改网站数量按类型分布情况如下图所示, 数量最多的是.com 和.com.cn 域 名类网站 gov.cn 域名类网站有 67 个 ( 占境内 6.5%), 环比增加 17.5% 截至 4 月 18 日 12 时仍未恢复的被篡改政府网站如下表所示 被篡改网站 jsj.jinchuan.gov.cn zlj.stipo.gov.cn dzrd.duanzhou.gov.cn www.gxhcdj.gov.cn www.rh.gov.cn www.yaic.gov.cn www.qjly.gov.cn hbyczj.gov.cn www.xzrk.gov.cn www.qssfj.gov.cn zbszy.gov.cn 所属部门或地区甘肃省金昌市广东省汕头市广东省肇庆市广西自治区河池市贵州省仁怀市黑龙江省伊春市湖北省潜江市湖北省宜城市江苏省徐州市内蒙古自治区包头市山东省淄博市 注 6: 政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况 表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 4
被篡改网站 www.bj.nanchong.gov.cn scnczw.gov.cn web.scnczw.gov.cn www.snjcy.gov.cn 所属部门或地区四川省南充市四川省南充市四川省南充市四川省遂宁市 根据 CNCERT 监测和通信行业报送数据 7, 截至 4 月 18 日 12 时, 仍存在被挂马或被 植入不正当广告链接 ( 如 : 网络游戏 色情网站链接 ) 的政府网站如下表所示 被挂马网站 www.cfcc.gov.cn www.nosta.gov.cn www.geta.gov.cn www.jkrlj.gov.cn www.dtrsrc.gov.cn www.cdcc.gov.cn www.qzkx.gov.cn 所属部门或地区北京市北京市贵州省贵阳市江苏省镇江市山西省大同市四川省成都市浙江省衢州市 本周事件处理情况 1 本周处理各类事件数量 对国内外通过电子邮件 热线电话 传真等方式报告的网络安全事件, 以及自主监测发现的网络安全事件,CNCERT 根据事件的影响范围和存活性 涉及用户的性质等因素, 筛选重要事件进行协调处理 本周,CNCERT 通过与基础电信运营商 域名注册服务机构的合作机制, 以及反网络病毒联盟 (ANVA) 的工作机制, 共协调处理了 44 件网络安全事件 2 本周恶意域名处理情况 依据 中国互联网域名管理办法 和 木马和僵尸网络监测与处置机制 等相关法律法规的规 定, 本周 ANVA 在万网 希网等域名注册服务机构的配合和支持下, 对 30 个在中国大陆注册的 参 与传播网络病毒或仿冒网站的恶意域名采取了暂停解析的处置措施 详细列表如下所示 处置域名列表 nb118.com pxnj.com itxyd.com SPOGOM.COM tongcheng918.com b2cbuycardinlocale.com spogc.com spogh.com banking-nonghyyup.com banking-nonghyuup.com banking-nonghyupp.com card-nonghyupd.com 处置原因 网页仿冒 注 7: 被挂马网站根据 CNCERT 自主监测结果以及奇虎 360 绿盟 微软 安天 华为 网御星云 安信华等企业报送的挂马信息整理 5
ISCVSTASCHE.COM renyao040.7766.org renyao052.7766.org 222wsde3edvvv555.ba34tac.8866.org 222w45tavfr.bg28uny.8866.org 7ju6h.3322.org 5yghj.3322.org 67uum.3322.org 5tghj.3322.org jk78k.3322.org j7yut.3322.org xcf7.8866.org bybguama.9966.org 5yjyh.3322.org liuliang11.8866.org liuliang17.8866.org huangjs.8866.org 54yhhj.3322.org 网页挂马 3 本周重点事件处理情况 协调处理数起仿冒韩国政府网站的仿冒事件 4 月 15 日,CNCERT 接到举报, 称在境内注册的域名分别为 spogc.com 和 spogh.com 的 网站仿冒韩国政府网站, 对用户获取官方信息和保护个人隐私信息构成威胁 经验证核实后, CNCERT 协调这两个域名所属的注册商万网志成公司, 暂停了仿冒网站的域名解析服务 协调处理某省人民政府网站遭遇攻击转嫁事件 4 月 15 日,CNCERT 接到分中心报告, 称某省人民政府网站服务器受到拒绝服务攻击 经查, 该事件起因于一个网络游戏私服网站在受到流量攻击时将域名解析地址恶意指向该政府部门网站服务器, 从而将攻击流量转嫁 CNCERT 立即协调该私服网站的域名注册商 ( 位于境外 ) 暂停了域名解析, 及时阻断了攻击 本周重要安全漏洞本周, 国家信息安全漏洞共享平台 (CNVD) 整理和发布以下重要安全漏洞, 详细的漏洞信息请参见 CNVD 漏洞周报 (http://www.cnvd.org.cn/reports/list) 1 Microsoft 发布安全公告, 修复多个产品安全漏洞本周, 微软发布了 2011 年 4 月份的月度例行安全公告, 共包含 17 项安全更新, 其中 9 项更新的综合评级为 严重, 其余 8 项更新的综合评级为 重要 本次发布的安全更新修复了包含 Windows 操作系统 Office 软件 IE 浏览器 服务器软件 开发工具等产品的多个安全漏洞 攻击者可以利用这些漏洞发起攻击, 攻击一旦成功则可在受害主机上执行任意代码, 窃取敏感信息或提升特权 CNVD 收录的相关漏洞包括 :Microsoft Excel 整数下溢漏洞 Microsoft Excel 缓冲区溢出漏洞 (CVE-2011-0098 CVE-2011-0104 CVE-2011-0105) Microsoft Excel 任意代码执行漏洞 (CVE-2011-0101 CVE-2011-0978 CVE-2011-0979) Microsoft Excel 内存破坏漏洞 (CVE-2011-0103) Microsoft Windows/Office GDI+ 整数溢出漏洞 Microsoft HTML Help '.chm' 文件栈缓冲区溢出漏洞 Microsoft Internet Explorer 绕过域限制漏洞 Microsoft Internet Explorer 处理帧标签对象存在安全漏洞等 CNVD 提醒广大 Microsoft 用户及时下载补丁程序进行修补 除上述公告提到的漏洞外,Microsoft Host Integration Server 被披露存在多个拒绝服务漏洞 Microsoft Host Integration Server 是一款主机平台互连互通解决方案 攻击者可以利用漏洞发起拒绝服务攻击, 导致服务异常终止, 该漏 6
洞的综合评级为 高危 目前, 互联网上已经出现该漏洞的攻击代码, 且微软尚未发布其补丁程序,CNVD 建议用户及时关注厂商主页, 以获取补丁程序或最新版本 2 Computer Associates Total Defense 安全漏洞 Computer Associates Total Defense 是由 CA 公司提供用于防范常见网络攻击的安全软件 本周,Computer Associates Total Defense 出现了一个远程代码执行漏洞和多个 SQL 注入漏洞 远程攻击者可以利用漏洞操作数据库或以数据库上下文执行任意代码 CNVD 收录的相关漏洞包括 :Computer Associates Total Defense \'UNCSW\' 服务远程代码执行漏洞 Computer Associates Total Defense 中 UnAssignFunctionalUsers 存储过程安全漏洞 Computer Associates Total Defense 中 RegenerateReport 存储过程安全漏洞 Computer Associates Total Defense 中 UnassignAdminRoles 存储过程安全漏洞 Computer Associates Total Defense 中 DeleteFilter 存储过程安全漏洞 Computer Associates Total Defense 中 NonAssignedUserList 存储过程安全漏洞 Computer Associates Total Defense 中 DeleteReportLayout 存储过程安全漏洞 Computer Associates Total Defense 中 DeleteReports 存储过程安全漏洞 上述漏洞的综合评级均为 高危 厂商已经发布这些漏洞的补丁程序,CNVD 提醒相关用户及时获取补丁程序进行修补 3 Adobe Flash Player 'SWF' 文件远程内存破坏漏洞本周,Adobe 发布安全公告披露 Adobe Flash Player 存在一个内存破坏漏洞 Adobe Flash Player 是一款 Flash 文件处理程序 Windows Macintosh Linux 和 Solaris 操作系统下的 Adobe Flash Player 10.2.153.1 和之前版本,Android 下的 Adobe Flash Player 10.2.156.12 及早期版本,Windows 和 Macintosh 操作系统下的 Adobe Reader 及 Acrobat X (10.0.2) 和 Reader 及 Acrobat 早期 10.x 和 9.x 版本提供的 Authplay.dll 组件存在安全漏洞 此漏洞 (CVE-2011-0611) 可导致应用程序崩溃或允许攻击者控制受影响操作系统 针对此漏洞的攻击代码和攻击方法在互联网上已经被公开, 攻击者把恶意 FLASH(.swf) 文件嵌入到 Microsoft Word(.doc) 文档, 通过 Email 附件方式发送诱使用户打开 Adobe Reader X 也受此漏洞影响, 但其安全机制能阻止恶意代码执行 这个漏洞的综合评级为 高危 目前, 厂商已经发布了这个漏洞的补丁程序,CNVD 提醒相关用户及时获取补丁程序进行修补 4 HP 产品安全漏洞本周,HP 的产品 Photosmart 打印机和 HP-UX 操作系统存在多个安全漏洞 CNVD 收录的相关漏洞包括 :HP Photosmart 打印机敏感信息泄露漏洞 (CVE-2011-1531) HP Photosmart 打印机 webscan 组件信息泄露漏洞 (CVE-2011-1532) HP Photosmart 打印机 SNMP 组件信息泄露漏洞 (CVE-2011-1533) HP-UX 未明远程拒绝服务漏洞 攻击者可以利用漏洞发起跨站脚本或拒绝服务攻击, 获得敏感信息或劫持目标用户会话 目前,HP 已经发布了补丁程序,CNVD 提醒广大用户及时下载修复 5 NullSoft Winamp 缓冲区溢出漏洞 Winamp 是一款流行的媒体播放器程序 本周,Winamp 出现了两个综合评级为 高危 的缓冲区溢出漏洞, 远程攻击者可以利用漏洞在受影响的程序中执行任意代码 CNVD 收录 7
的漏洞包括 :Winamp '.wlz' 文件远程缓冲区溢出漏洞 Winamp '.m3u8' 文件远程缓冲区溢出漏洞 目前, 互联网上已经出现针对这两个漏洞的攻击代码, 主要影响 NullSoft Winamp 5.6.1 版本 厂商尚未发布这两个漏洞的补丁,CNVD 建议用户及时关注厂商主页, 以获取补丁程序或最新版本 小结 : 本周,Microsoft 发布安全公告, 修复了包含 Windows 操作系统,Office 软件, IE 浏览器, 服务器软件, 开发工具等产品在的多个安全漏洞 攻击者可以利用这些漏洞发起攻击, 攻击一旦成功则可在受害主机上执行任意代码, 窃取敏感信息或提升特权, 对广大微软用户构成较严重威胁 Computer Associates Total Defense 出现多个高危安全漏洞, 允许攻击者利用漏洞操作数据库或以数据库上下文执行任意代码 此外,Adobe 应用产品 HP 应用产品和 Winamp 播放器也出现了多个安全漏洞, 一些漏洞的攻击代码也随即在互联网上公开, 对使用上述产品的用户构成较大威胁 请使用上述软件的相关机构和个人及时采取安全防范措施 二 业界新闻速递 网络安全事件与威胁 1 黑桃 J 木马疯狂扩张日均攻击 20 万台电脑中国广播网消息 : 据中国之声 新闻晚高峰 报道, 最近网上又出现了一个大型木马团伙, 代号为 黑桃 J 这个团伙已经攻陷了 33000 多家网站, 其中包括北京师范大学 山东大学 华东理工大学等一些知名高校的官方网站, 使这些网站成为木马传播流通的平台 目前, 黑桃 J 木马正在以每天平均攻击 20 万台电脑的速度疯狂扩张 黑桃 J 木马, 由黑客去篡改受攻击的网站 ; 同时 黑桃 J 这个黑客团伙又会通过搜索引擎的优化, 使用户在搜索引擎里搜索热门关键词时, 受攻击的这些网站就会排在搜索结果的前面 当用户点击链接到这些网站时, 这个网站已经事先被篡改了, 它所增加的恶意代码会自动跳转到一个类似于色情网站, 再诱使用户去下载一个经伪装的木马 2 WordPress 服务器遭入侵 VIP 客户源代码泄露新浪科技消息 : WordPress.com 目前服务于 1800 万博客和网站, 其中包括 TED CBS 和 TechCrunch 博客等, 其服务网站占全球网站数量的 10% WordPress 周三透露, 有黑客侵入了部分 WordPress.com 服务器, 导致其 VIP 客户源代码外泄 WordPress.com 因此警告所有 VIP 客户修改所有密码和 API 密钥 业界动态 3 美国司法部捣毁 Coreflood 僵尸网络新浪科技消息 : 美国司法部周三宣布, 已经捣毁了一个控制着全球 200 多万台电脑的僵尸网络 美国司法部称, 本次行动的目标是一款名为 Coreflood 的软件, 该软件专门搜集密 8
码和财务信息 被 Coreflood 感染的电脑构成了一个僵尸网络, 据估计, 该网络的运营时间已经接近十年, 仅在美国就感染了 180 万台电脑 美国康涅狄格州总检察长针对 13 名未确定身份的被告提起民事诉讼, 指控他们犯有电信欺诈 银行欺诈和拦截国际电子通讯信息等罪名 执法人员已经获得了电脑服务器的搜查令, 并且没收了 29 个域名 9
关于国家互联网应急中心 (CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称是 CNCERT 或 CNCERT/CC) 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心 预警中心和应急中心, 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能, 支持基础信息网络的安全防护和安全运行, 支援重要信息系统的网络安全监测 预警和处置 国家互联网应急中心在我国大陆 31 个省 自治区 直辖市设有分中心 联系我们如果您对 CNCERT 网络安全信息与动态周报 有何意见或建议, 欢迎与我们的编辑交流 本期编辑 : 朱芸茜网址 :www.cert.org.cn Email:cncert_report@cert.org.cn 电话 :010-82990680 10