关于国家互联网应急中心 (CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心预警中心和应急中心,

CNCERT 互联网安全威胁报告 2012 年 12 月总第 24 期优良中差危摘要 : 本报告以 CNCERT 监测数据和通报成员单位报送数据作为主要依据, 对我国互联网面临的各类安全威胁进行总体态势分析, 并对重要预警信息和典型安全事件进行探讨 2012 年 12 月, 互联网网络安全状况整体评价为中主要数据如下 : 境内感染网络病毒的终端数为 414 万余个 ; 境内被篡改网站数量为 9017 个, 其中被篡改政府网站数量为 758 个 ; 境内被植入后门的网站数量为 13241 个, 其中政府网站有 265 个 ; 针对境内网站的仿冒页面数量为 3888 个 ; 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 539 个, 其中, 高危漏洞 168 个, 可被利用来实施远程攻击的漏洞有 491 个热线电话 :+8610 82990999( 中文 ),82991000( 英文 ) 传真 :+8610 82990399 电子邮件 :cncert@cert.org.cn PGP Key:http:///cncert.asc 网址 :http:///

关于国家互联网应急中心 (CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心预警中心和应急中心, 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能, 支持基础信息网络的安全防护和安全运行, 支援重要信息系统的网络安全监测预警和处置 2003 年,CNCERT 在我国大陆 31 个省自治区直辖市成立分中心, 完成了跨网络跨系统跨地域的公共互联网网络安全应急技术支撑体系建设, 形成了全国性的互联网网络安全信息共享技术协同能力目前,CNCERT 作为国家互联网安全应急体系的核心技术协调机构, 在协调国内网络安全应急组织 (CERT) 共同处理互联网安全事件方面发挥着重要作用 CNCERT 的业务能力主要包括 : 监测发现 : 依托 863-917 网络安全监测系统实现网络安全事件的监测发现 863-917 网络安全监测系统是一个全程全网多层次多渠道延伸的网络安全综合监测平台, 目前已具备对安全漏洞恶意代码网页篡改网页挂马拒绝服务攻击域名劫持路由劫持等各种网络威胁或攻击的监测发现能力通报预警 : 依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警网络安全事件的情况通报宏观网络安全状况的态势分析等此外, 按照 2009 年工业和信息化部颁布实施的互联网网络安全信息通报实施办法承担通信行业互联网网络安全信息通报工作应急处置 : 依托与运营商域名注册商安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置 ; 同时作为国际著名网络安全合作组织 FIRST 和 APCERT 的重要成员, 与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制面向国内外用户受理网络安全事件报告, 及时掌握和处置突发重大网络安全事件

版权及免责声明 CNCERT 互联网安全威胁报告 ( 以下简称报告 ) 为国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心,CNCERT 或 CNCERT/CC) 的电子刊物, 由 CNCERT 编制并拥有版权报告中凡摘录或引用内容均已指明出处, 其版权归相应单位所有本报告所有权利及许可由 CNCERT 进行管理, 未经 CNCERT 同意, 任何单位或个人不得将本报告以及其中内容转发或用于其他用途 CNCERT 力争保证本报告的准确性和可靠性, 其中的信息数据图片等仅供参考, 不作为您个人或您企业实施安全决策的依据,CNCERT 不承担与此相关的一切法律责任编者按 : 感谢您阅读 CNCERT 互联网安全威胁报告, 如果您发现本报告存在任何问题, 请您及时与我们联系, 来信地址为 :cncert@cert.org.cn

本月网络安全基本态势分析 2012 年 12 月, 互联网网络安全状况整体评价为中我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件在我国互联网网络安全环境方面, 除新增恶意代码文件数量我国境内被篡改网站数量和被植入后门的网站数量较上月有所增长外, 其他各类网络安全事件数量均有不同程度的下降总体上, 12 月公共互联网网络安全态势较上月有所好转, 但评价指数仍在中的区间基础网络安全 2012 年 12 月, 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未出现省级行政区域以上的造成较大影响的基础网络运行故障, 未发生较大以上网络安全事件, 但存在一定数量的流量不大的针对互联网基础设施的拒绝服务攻击事件重要联网信息系统安全政府网站和金融行业网站仍然是不法分子攻击的重点目标, 安全漏洞是重要联网信息系统遭遇攻击的主要内因本月, 监测发现境内被篡改政府网站数量为 758 个, 较上月的 658 个增长 15.2%, 占境内被篡改网站比例由 8.0% 上升到 8.4%; 境内被植入后门的政府网站数量为 265 个, 较上月的 294 个下降 9.9%, 占境内被植入后门网站比例由 5.4% 减少到 2.0%; 针对境内网站的仿冒页面数量为 3888 个, 较上月的 6399 个下降 39.2%, 这些仿冒页面绝大多数是仿冒我国金融机构和著名社会机构本月, 国家信息安全漏洞共享平台 (CNVD 1 ) 共协调处置了共协注 1:CNVD 是 CNCERT 联合国内重要信息系统单位基础电信运营商网络安全厂商软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集发布验证分析等应急处理体系 1

调处置了 61 起涉及我国政府部门以及银行民航等重要信息系统部门以及电信传媒公共卫生教育等相关行业的漏洞事件这些事件大多数是网站程序存在 SQL 注入弱口令以及权限绕过等漏洞, 也有部分是信息系统采用的应用软件存在漏洞, 可能导致获取后台系统管理权限信息泄露恶意文件上传等危害, 甚至会导致主机存在被不法分子远程控制的风险此外, Sony PC Companion 'DownloadURLToFile()' 栈缓冲区溢出漏洞 MyBB HM_My Country Flags 插件 'cnam' SQL 注入漏洞 PHP Address Book 'group' 参数跨站脚本漏洞 Kiwi Syslog Web Access SQL 注入漏洞等 0day 漏洞影响较为严重, 互联网上已经出现针对上述漏洞的攻击代码公共网络环境安全 2012 年 12 月, 根据 CNCERT 的监测数据和通信行业报送数据, 2 我国互联网网络安全环境主要指标情况如下 :1 网络病毒活动情况方面, 境内感染网络病毒的终端数为 414 万余个, 较上月下降 11.1%; 在 3 4 捕获的新增网络病毒文件中, 按网络病毒名称统计新增 399 个, 较上 5 月增长 34.3%, 按网络病毒家族统计新增 1 个, 与上月持平 ; 各安全企业报送的网络病毒捕获数量中, 瑞星公司截获的病毒数量较上月增长 21.1%, 新增病毒数量较上月大幅增长 447.9%; 安天公司捕获的样本总数较上月下降 43.1%, 新增病毒种类较上月大幅下降 70.6%; 金山公司报送的计算机病毒事件数量较上月下降 19.3% 2 网站安全方面, 本月注 2: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序其中, 网络病毒是特指有网络通信行为的恶意代码 12 月,CNCERT 在对恶意代码进行抽样监测时, 对 405 种木马家族和 85 种僵尸程序家族进行了抽样监测注 3: 网络病毒文件是网络病毒的载体, 包括可执行文件动态链接库文件等, 每个文件都可以用哈希值唯一标识注 4: 网络病毒名称是通过网络病毒行为源代码编译关系等方法确定的具有相同功能的网络病毒命名, 完整的命名一般包括 : 分类家族名和变种号一般而言, 大量不同的网络病毒文件会对应同一个网络病毒名称注 5: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称, 每个网络病毒家族一般包含多个变种号区分的网络病毒名称 2

境内被篡改网站数量为 9017 个, 较上月增长 9.3%; 境内被植入后门的网站数量为 13241 个, 较上月大幅增长 142.4%, 这主要是由于 CNCERT 更新了网站后门监测特征 ; 针对境内网站的仿冒页面有 3888 个, 较上月下降 39.2%; 各安全企业报送的网页挂马情况中, 浪潮公司报送的网页挂马事件数量较上月增长 16.2%, 安天公司报送的网页挂马事件数量 6 较上月增长 15.6%, 奇虎 360 公司报送的网页挂马事件数量较 10 月大幅下降 84.4% 3 安全漏洞方面, 本月 CNVD 共收集整理信息系统安全漏洞 539 个, 较上月下降 26.1% 其中高危漏洞 168 个, 较上月下降 27.3%; 可被利用来实施远程攻击的漏洞有 491 个, 较上月下降 28.4% 4 垃圾邮件方面, 从中国互联网协会反垃圾邮件中心报送数据看, 本月共接收 4320 件垃圾邮件事件举报, 较上月下降 6.2% 5 事件受理方面, CNCERT 接收到网络安全事件报告 1197 件, 较上月下降 35.5% 数量最多的分别是漏洞类事件 608 件网页仿冒类事件 542 件注 6: 奇虎 360 公司未报送 11 月数据, 故与其 10 月报送数据进行了比较 3

本月重点网络安全信息出现一种新型数据删除恶意程序 12 月 16 日, 伊朗国家计算机应急响应中心 (Iran CERT) 宣布, 伊朗遭受一种名为 BatchWiper 的新型恶意程序的攻击, 并称该恶意程序从中东地区传播到伊朗, 但其攻击目标及传播模式都还未确定 CNCERT 在 12 月 22 日获得该恶意程序样本, 并立即对之进行了深入分析, 发现该恶意程序能够在某些特定的日期删除被感染计算机桌面以及 D-I 盘中的所有文件根据 CNCERT 掌握的情况和 ANVA 成员单位报送的情况, 目前我国感染该恶意程序数量很少其中, 奇虎 360 称目前监测到的感染量为个位数 ; 趋势科技腾讯电脑管家称目前尚未监测到国内用户感染该恶意程序发现 BIND9 软件存在拒绝服务漏洞 12 月,CNVD 收录了一个可导致开启 DNS64 功能的 BIND9 服务器拒绝服务漏洞 (CNVD-2012-16681), 攻击者利用该漏洞可以发起针对使用 DNS64 功能的 BIND9 服务器的拒绝服务攻击, 对相关域名解析服务器运行安全构成威胁 BIND 是 ISC 组织 (Internet Systems Consortium) 生产的一款应用广泛的域名解析系统软件根据 ISC 发布的公告称, 使用 DNS64 IPv6 过渡机制的 BIND9 服务器存在一个软件漏洞, 通过该漏洞构造一个特定的 DNS 查询可以导致 BIND9 服务器出现 REQUIRE 失败声明而终止服务攻击者可以轻易的通过该漏洞对 BIND 服务器发起拒绝服务攻击综合研判认为, 攻击者可通过构建特定的 DNS 查询发起针对使用 DNS64 功能的互联网域名解析系统的攻击, 而启用 DNS64 的基础电信运营企业的递归服务器也会受到直接的影响 4

发现 IE 浏览器软件存在远程代码执行零日漏洞 12 月, CNVD 收录了微软公司浏览器软件 Internet Explorer 存在的一个远程代码执行零日漏洞 (CNVD-2012-18980), 攻击者利用该漏洞可以发起网页挂马攻击, 取得用户主机的控制权, 对广大 IE 用户构成较为严重的威胁 Internet Explorer 是微软公司推出的网页浏览器软件, 当前用户采用的版本主要为 6.0 及以上版本由于 Internet Explorer 在处理 mshtml!cdwnbindinfo 对象时存在内存释放后重用缺陷, 攻击者可通过诱使用户访问特定构造的恶意网页 ( 即网页挂马攻击方式 ), 进而在用户主机上执行页面中包含的恶意代码, 远程控制用户主机操作系统 CNVD 对该漏洞的综合评级为高危受该漏洞影响的 IE 浏览器软件版本包括 IE 6 7 8, 而 IE 9 和 IE 10 不受此漏洞影响目前, 互联网上已经披露了针对该漏洞的攻击利用代码, 且 CNVD 成员单位已经监测发现针对该漏洞的挂马攻击情况发现三星打印机存在内置后门漏洞 12 月,CNVD 收录了三星打印机存在的一个内置后门漏洞 (CNVD-2012-16485), 攻击者利用漏洞可以取得打印机的部分操作控制权限, 进而窃取打印机中存储的私密信息或发起对打印机所在网络的攻击, 构成信息泄露和运行安全风险目前, 市面上常见的打印机产品在安装和部署时都启用了简单网络管理协议 (SNMP) 服务, 在 SNMP V1 和 V2 版本中用户只需要通过一个固定的通信字符串即可对打印机进行配置和管理在默认配置情况下, 打印机只使用 public 作为通信字符串, 允许外部用户对打印机的设备信息进行只读操作而三星公司在生产的网络打印机产品的打印管理信息库 ( MIB ) 中秘密内置了一个后门通信字符串 s!a@m#n$p%c, 该字符串不仅具备与 public 相同的信息读取功能, 还具备指令写入功能利用该后门漏洞, 拥有打印机访问权限 ( 通常为相邻网络用户 ) 可以更改打印机配置, 直接窃取打印机中存储的信 5

息, 进一步还有可能通过远程指令等攻击方式控制打印机设备 CNVD 对该漏洞的综合评级为高危根据生产厂商以及漏洞研究者的测试结果, 三星公司在 2012 年 10 月 31 日前生产的三星全系列打印机产品以及由三星公司代工的部分戴尔打印机产品受到漏洞的影响 CNCERT 组织开展恶意程序专项打击行动 11 月 30 日至 12 月 6 日, 根据工业和信息化部木马和僵尸网络监测与处置机制,CNCERT 组织 31 个省分中心开展了 1 次木马和僵尸网络专项打击行动, 共成功关闭了境内外 63 个控制规模较大的僵尸网络, 进而保护了近 15 万个 IP 地址免受黑客的远程操控, 有效降低了发生大规模拒绝服务攻击的风险 11 月 19 日至 12 月 13 日, 根据工业和信息化部移动互联网恶意程序监测与处置机制,CNCERT 组织中国电信中国移动和中国联通等基础电信运营企业江苏分中心 (JSCERT) 中国反网络病毒联盟 (ANVA) 成员单位域名注册机构以及手机应用商店开展了一次移动互联网恶意程序专项处置行动本次专项行动共清理恶意控制 URL 链接和恶意传播 URL 链接共 434 条境外恶意控制域名 20 个, 有效维护了移动互联网的安全运营 6

本月网络安全主要数据网络病毒监测数据分析 2012 年 12 月, 境内感染网络病毒的终端数为 414 万余个其中, 境内被木马或僵尸程序控制的主机 IP 为近 124 万个, 环比下降 25.0%; 境内感染飞客蠕虫的主机 IP 为 290 万余个, 环比下降 3.5% 木马僵尸网络监测数据分析 2012 年 12 月,CNCERT 监测发现境内近 124 万个 IP 地址对应的主机被木马或僵尸程序控制, 按地区分布感染数量排名前三位的分别是广东省江苏省浙江省木马或僵尸网络控制服务器 IP 总数为 18561 个其中, 境内木马或僵尸网络控制服务器 IP 数量为 14949 个, 按地区分布数量排名前三位的分别为广东省江苏省浙江省境外木马或僵尸网络控制服务器 IP 数量为 3612 个, 主要分布于美国中国香港韩国其中, 位于美国的控制服务器控制了境内 545647 个主机 IP, 控制境内主机 IP 数量居首位, 其次是位于中国香港和德国的 IP 地址, 分别控制了境内 151771 个和 85311 个主机 IP 飞客蠕虫监测数据分析 2012 年 12 月,CNCERT 监测到全球互联网近 2517 万主机 IP 地址感染飞客蠕虫, 按国家或地区分布感染数量排名前三位的分别是中国大陆巴西印度境内感染飞客蠕虫的主机 IP 为 290 万余个, 按地区分布感染数量排名前三位的分别是广东省江苏省浙江省网络病毒捕获和传播情况 2012 年 12 月,CNCERT 捕获了大量新增网络病毒文件, 其中按网络病毒名称统计新增 399 个, 按网络病毒家族统计新增 1 7

个网络病毒主要针对一些防护比较薄弱, 特别是访问量较大的网站通过网页挂马的方式进行传播当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后, 会经过多级跳转暗中连接黑客最终放马的站点下载网络病毒 2012 年 12 月,CNCERT 监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如表 1 所示表 1: 2012 年 12 月活跃放马站点域名和 IP 排序活跃放马站点域名排序活跃放马站点 IP 1 download.cpudln.com 1 220.181.19.75 2 update.wblove.com 2 60.190.218.136 3 msn.liukejun.com 3 60.190.218.167 4 sina.liukejun.com 4 122.224.9.35 5 hi.liukejun.com 5 122.227.228.118 6 qq.liukejun.com 6 122.224.8.109 7 www.tssgdam.com 7 122.227.164.15 8 jj111.r8hukojj1200yi.info 8 122.227.164.124 9 www.kuaizip.com 9 122.228.244.243 10 ss.htrb.info 10 121.10.105.29 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 2012 年 12 月,CNCERT 监测发现的放马站点中, 通过域名访问的共涉及有 921 个域名, 通过 IP 直接访问的共涉及有 437 个 IP 在 921 个放马站点域名中, 于境内注册的域名数为 203 个 ( 约占 22.0%), 于境外注册的域名数为 621 个 ( 约占 67.4%), 未知注册商所属境内外信息的有 97 个 ( 约占 10.6%) 放马站点域名所属顶级域名排名前 5 位的具体情况如表 2 所示 8

表 2: 2012 年 12 月活跃恶意域名所属顶级域名排序顶级域名 (TLD) 类别恶意域名数量 1.COM 通用顶级域名 (gtld) 530 2.CN 中国顶级域名 (cctld) 82 3.INFO 通用顶级域名 (gtld) 81 4.NET 通用顶级域名 (gtld) 64 5.KR 韩国顶级域名 (cctld) 50 网站安全数据分析境内网站被篡改情况 2012 年 12 月, 境内被篡改网站的数量为 9017 个, 境内被篡改网站数量按地区分布排名前三位的分别是北京市上海市浙江省按网站类型统计, 被篡改数量最多的是 COM 域名类网站, 其多为商业类网站 ; 值得注意的是, 被篡改的 GOV 域名类网站有 758 个, 占境内被篡改网站的比例为 8.4% 7 截至 12 月 31 日仍未恢复的部分被篡改政府网站如表 3 所示被篡改网站 www.xxsjj.gov.cn gfql.hlraohe.gov.cn www.wnt.gov.cn www.bxfgj.gov.cn www.dejt.gov.cn www.jxjtw.gov.cn www.hsrk.gov.cn www.scpcgt.gov.cn gyczs.syxxz.gov.cn hjwgj.gov.cn 表 3: 截至 12 月 31 日仍未恢复的部分政府网站所属部门或地区安徽省宿州市黑龙江省双鸭山市内蒙古自治区赤峰市山东省滨州市山东省聊城市山东省日照市陕西省榆林市四川省达州市四川省广元市四川省泸州市注 7: 政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 9

境内网站被挂马情况根据 CNCERT 监测和通信行业报送数据, 截至 12 月 31 日仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏色情网站链接 ) 的部分政府网站如表 4 所示表 4: 截至 12 月 31 日仍存在挂马的部分政府网站被挂马网站所属部门或地区 www.whkf.gov.cn 山东省威海市 phdm.pinghu.gov.cn 浙江省嘉兴市 www.jlpdj.gov.cn 重庆市境内网站被植入后门情况 2012 年 12 月, 境内被植入后门的网站数量为 13241 个境内被植入后门的网站数量按地区分布排名前三位的分别是北京市浙江省广东省按网站类型统计, 被植入后门数量最多的是 COM 域名类网站, 其多为商业类网站 ; 值得注意的是, 被植入后门的 GOV 域名类网站有 265 个, 占境内被植入后门网站的比例为 2.0% 2012 年 12 月, 境外 3049 个 IP 地址通过植入后门对境内 11295 个网站实施远程控制其中, 境外 IP 地址主要位于美国中国香港和韩国等国家或地区从境外 IP 地址通过植入后门控制境内网站数量来看, 位于美国的 IP 地址共向境内 4240 个网站植入了后门程序, 侵入网站数量居首位, 其次是位于韩国和位于巴西的 IP 地址, 分别向境内 1455 个和 1082 个网站植入了后门程序境内网站被仿冒情况 2012 年 12 月,CNCERT 共监测到针对境内网站的仿冒页面有 3888 个, 涉及域名 2247 个,IP 地址 795 个, 平均每个 IP 地址承载近 5 个仿冒页面在这 795 个 IP 中, 境外占 97.2%, 主要位于美国和中国香港 10

漏洞数据分析 2012 年 12 月, 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 539 个其中, 高危漏洞 168 个, 可被利用来实施远程攻击的漏洞有 491 个受影响的软硬件系统厂商包括 Adobe Apache Cisco Google HP IBM Linux Microsoft Oracle 等根据 CNVD 的代码验证结果, 本月共出现了 255 个 0day 漏洞, 其中影响较为严重的是 Sony PC Companion 'DownloadURLToFile()' 栈缓冲区溢出漏洞 MyBB HM_My Country Flags 插件 'cnam' SQL 注入漏洞 PHP Address Book 'group' 参数跨站脚本漏洞 Kiwi Syslog Web Access SQL 注入漏洞互联网上已经出现针对上述漏洞的攻击代码, 为避免受到漏洞影响, 请广大用户及时采取补丁修复提高主机操作系统安全防范等级等防御措施根据漏洞影响对象的类型, 漏洞可分为操作系统漏洞应用程序漏洞 WEB 应用漏洞数据库漏洞网络设备漏洞 ( 如路由器交换机等 ) 和安全产品漏洞 ( 如防火墙入侵检测系统等 ) 本月 CNVD 收集整理的漏洞中, 按漏洞类型分布排名前三位的分别是应用程序漏洞 WEB 应用漏洞网络设备漏洞网络安全事件接收与处理情况事件接收情况 2012 年 12 月,CNCERT 收到国内外通过电子邮件热线电话网站提交传真等方式报告的网络安全事件 1197 件 ( 合并了通过不同方式报告的同一网络安全事件, 且不包括扫描和垃圾邮件类事件 ), 其中来自国外的事件报告有 43 件在 1197 件事件报告中, 排名前三位的安全事件分别是漏洞网页仿冒恶意代码事件处理情况对国内外通过电子邮件热线电话传真等方式报告的网络安 11

全事件, 以及自主监测发现的网络安全事件,CNCERT 每日根据事件的影响范围和存活性涉及用户的性质等因素, 筛选重要事件进行协调处理 2012 年 12 月,CNCERT 总部以及各省分中心共同协调处理了 1478 件网络安全事件各类事件处理数量中漏洞网页仿冒类事件处理数量较多 12

附 : 术语解释信息系统信息系统是指由计算机硬件软件网络和通信设备等组成的以处理信息和数据为目的的系统漏洞漏洞是指信息系统中的软件硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风险恶意程序恶意程序是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序恶意程序分类说明如下 : 1. 特洛伊木马 (Trojan Horse) 特洛伊木马 ( 简称木马 ) 是以盗取用户个人信息, 甚至是远程控制用户计算机为主要目的的恶意代码由于它像间谍一样潜入用户的电脑, 与战争中的木马战术十分相似, 因而得名木马按照功能, 木马程序可进一步分为 : 盗号木马 8 网银木马 9 窃密木马 10 远程控制木马 11 流量劫持木马 12 13 下载者木马和其它木马七类 2. 僵尸程序 (Bot) 僵尸程序是用于构建大规模攻击平台的恶意代码按照使用的通信协议, 僵尸程序可进一步分为 :IRC 僵尸程序 Http 僵尸程序 P2P 僵尸程序和其它僵尸程序四类 3. 蠕虫 (Worm) 蠕虫是指能自我复制和广泛传播, 以占用系统和网络资源为主要目的的恶意代码按照传播途径, 蠕虫可进一步分为 : 邮件蠕虫即时消息蠕注 8: 盗号木马是用于窃取用户电子邮箱网络游戏等账号的木马注 9: 网银木马是用于窃取用户网银证券等账号的木马注 10: 窃密木马是用于窃取用户主机中敏感文件或数据的木马注 11: 远程控制木马是以不正当手段获得主机管理员权限, 并能够通过网络操控用户主机的木马注 12: 流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马注 13: 下载者木马是用于下载更多恶意代码到用户主机并运行, 以进一步操控用户主机的木马 13

虫 U 盘蠕虫漏洞利用蠕虫和其它蠕虫五类 4. 病毒 (Virus) 病毒是通过感染计算机文件进行传播, 以破坏或篡改用户数据, 影响信息系统正常运行为主要目的恶意代码 5. 其它上述分类未包含的其它恶意代码随着黑客地下产业链的发展, 互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点, 并不断发展对此, 我们将按照恶意代码的主要用途参照上述定义进行归类僵尸网络僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量的垃圾邮件等拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务网页篡改网页篡改是恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件即时聊天手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息, 诱骗用户访问钓鱼网站, 以获取用户个人秘密信息 ( 如银行帐号和帐户密码 ) 网页挂马网页挂马是通过在网页中嵌入恶意代码或链接, 致使用户计算机在访问该页面时被植入恶意代码网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 14

垃圾邮件垃圾邮件是将不需要的消息 ( 通常是未经请求的广告 ) 发送给众多收件人包括 :( 一 ) 收件人事先没有提出要求或者同意接收的广告电子刊物各种形式的宣传品等宣传性的电子邮件 ;( 二 ) 收件人无法拒收的电子邮件 ;( 三 ) 隐藏发件人身份地址标题等信息的电子邮件 ;( 四 ) 含有虚假的信息源发件人路由等信息的电子邮件域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 来获取信息系统访问权限路由劫持路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正当的目的 15