网络安全信息与动态周报-2012年第42期 - 国家互联网应急中心

国家互联网应急中心 

网络安全信息与动态周报 

2012 年第 42 期 

10 月 8 日 -10 月 14 日 

一、本周网络安全基本态势 

优 

良中差危 

1 

本周互联网网络安全指数整体评价为差。境内感染网络病毒的主机数约为 192.8 2 万个 , 

其中 , 境内感染木马或僵尸病毒的主机数约为 74.5 万个 , 较上周环比大幅增加了 2 倍 ; 新 

增网络病毒家族 1 个 , 较上周数量减少了 2 个 ; 境内被篡改政府网站数量为 37 个 , 较上周 

环比减少了 15.9%; 境内被植入后门的政府网站数量为 118 个 , 较上周环比大幅增加了 5.6 

倍 ; 针对境内网站的仿冒页面数量为 4648 个 , 较上周环比大幅增加了 27.3 倍 ; 新增信息 

安全漏洞 249 个 , 其中新增高危漏洞 121 个。 

本周网络病毒活动情况 

1、网络病毒监测情况 

本周境内感染网络病毒的主机数约为 192.8 万个。其中 , 境内被木马或被僵尸程序控 

制的主机约为 74.5 万个 , 较上周环比大幅增加了 2 倍 ; 境内感染飞客 (conficker) 蠕虫的 

主机约为 118.3 万个。 

木马或僵尸程序受控主机在我国大陆的分布情况如下图所示 , 其中红色区域是木马和 

僵尸程序感染量最多的地区 , 排名前三位的分别是广东省约 8.8 万个 ( 约占中国大陆总感 

染量的 11.8%)、山东省约 6 万个 ( 约占中国大陆总感染量的 8%) 和河南省约 5 万个 ( 约 

占中国大陆总感染量的 6.7%)。 

注 1: 一般情况下 , 恶意代码是指在未经授权的情况下 , 在信息系统中安装、执行以达到不正当目的的程序。 

其中 , 网络病毒是特指有网络通信行为的恶意代码。 

注 2 : 第 40 期周报注释 2 中的 “ 木马总数由 344 种增加 1272 种 ” 更正为 “ 木马总数由 344 种增加至 405 种 ”。 

1

2、TOP5 活跃网络病毒 

本周 , 中国反网络病毒联盟 (ANVA) 3 4 

整理发布的活跃网络病毒如下表所示。其中 , 

利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高 , 病毒仍多以利用系统漏洞的 

方式对系统进行攻击。ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固 , 安装具 

有主动防御功能的安全软件 , 开启各项监控 , 并及时更新 ; 另一方面 , 建议互联网用户使 

用正版的操作系统和应用软件 , 不要轻易打开网络上来源不明的图片、音乐、视频等文件 , 

不要下载和安装一些来历不明的软件 , 特别是一些所谓的外挂程序。 

名称 

Hack.Exploit.SWF.Binx!48 

96 

Hack.Exploit.Script.JS.Buc 

ode.i 

特点 

该溢出脚本病毒通过网页挂马的方式传播 , 会利用 swf 漏洞 Binary 

convert by activeScript 构造特殊 swf 文件 , 触发漏洞点 , 执行 shellcode, 

下载恶意程序。 

该溢出脚本病毒通过网页挂马的方式传播 , 会指向病毒网站下载其 

他病毒。 

注 3: 中国反网络病毒联盟 (Anti Network-Virus Alliance of China, 缩写 ANVA) 是由中国互联网协会网络与信 

息安全工作委员会发起、CNCERT 具体组织运作的行业联盟。反网络病毒联盟依托 CNCERT 的技术和资源优 

势 , 通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联 

合打击等工作 , 并面向社会提供信息咨询、技术支持等服务 , 以净化公共互联网网络环境 , 提升互联网网络安 

全水平。 

注 4: 根据瑞星、金山、奇虎 360、江民等企业报送的网络病毒信息整理。 

2

Trojan.Script.VBS.Dole.a 该木马病毒通过捆绑下载的方式传播 , 会释放 CAD 病毒脚本文件。 

Hack.Exploit.Script.JS.Ifra 

me.ac 

该溢出脚本病毒通过网页挂马的方式传播 , 会指向病毒网站下载其 

他病毒。 

Trojan.Win32.Fednu.axe 该下载器病毒通过网页挂马的方式传播 , 会下载其他病毒。 

3、网络病毒捕获和传播情况 

本周 ,CNCERT 捕获了大量新增网络病毒文件 5 6 

, 其中按网络病毒名称统计新增 95 个 , 

7 

较上周环比减少了 34.5%; 按网络病毒家族统计新增 1 个 , 较上周数量减少了 2 个。 

网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行传 

播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后 , 会经过多级跳转暗中连 

接黑客最终 “ 放马 ” 的站点下载网络病毒。本周 ,CNCERT 监测发现排名前十的活跃放马站 

点域名和活跃放马站点 IP 分别如下两表所示。 

排序活跃放马站点域名排序活跃放马站点 IP 

1 www.flggcm.com 1 173.208.198.210 

2 hn.cnysfl.com 2 173.208.202.196 

3 wsdl13.yunpan.cn 3 60.191.143.116 

4 download.cpudln.com 4 117.21.227.119 

5 dl.bj-gct.com 5 202.102.99.251 

6 bb.gm1992.info 6 173.208.202.200 

7 www.tssgdam.com 7 173.208.202.195 

8 www.tt373.com 8 220.181.19.75 

9 kuaibo.cfo152.info 9 122.224.8.109 

10 down.lanz168.com 10 173.208.202.221 

网络病毒在传播过程中 , 往往需要利用黑客注册的大量域名。本周 ,CNCERT 监测发 

现的放马站点中 , 通过域名访问的共涉及有 377 个 , 通过 IP 直接访问的共涉及有 177 个。 

在 377 个放马站点域名中 , 于境内注册的域名数为 86 个 ( 约占 22.8%), 于境外注册的域 

名数为 278 个 ( 约占 73.7%), 未知注册商所属境内外信息的有 13 个 ( 约占 3.5%)。下图为 

这些放马站点域名按所属顶级域的分布情况 , 排名前三位的是 .com( 约占 58.9%)、.info( 约 

占 11.7%)、 .cn( 约占 8.5%)。 

注 5: 网络病毒文件是网络病毒的载体 , 包括可执行文件、动态链接库文件等 , 每个文件都可以用哈希值唯一 

标识。 

注 6: 网络病毒名称是通过网络病毒行为、源代码编译关系等方法确定的具有相同功能的网络病毒命名 , 完整 

的命名一般包括 : 分类、家族名和变种号。一般而言 , 大量不同的网络病毒文件会对应同一个网络病毒名称。 

注 7: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称 , 每个网络病毒家族一般包 

含多个变种号区分的网络病毒名称。 

3

此外 , 通信行业互联网信息通报成员单位向 CNCERT 共报送了 81 个恶意域名或 IP( 去 

重后 ), 各单位报送数量统计如下图所示。 

针对 CNCERT 自主监测发现以及各单位报送数据 ,CNCERT 积极协调域名注册机构等 

进行处置 ( 参见本周事件处理情况部分 ), 同时通过 ANVA 在其官方网站上发布恶意地址黑 

名单 ( 详细黑名单请参见 :http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92)。请 

各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址黑名单的 URL, 并及时修补 

漏洞 , 加强网站的安全防护水平 , 不要无意中成为传播网络病毒的 “ 帮凶 ”。 

4

8 

本周网站安全情况 

根据 CNCERT 监测数据 , 本周境内被篡改网站数量为 550 个 , 较上周环比下降了 10.7%。 

境内被篡改网站数量按类型分布情况如下图所示 , 数量最多的仍是 COM 类网站。其中 , 

GOV 类网站有 37 个 ( 约占境内 6.7%), 较上周环比下降了 15.9%。 

本周协调处理的部分被篡改政府网站 ( 网站所属机构标为省、市、区单位的 gov.cn) 

的列表如下 , 其中是否恢复是截止到 10 月 15 日 12 时前的验证结果。 

被篡改网站所属地区是否恢复 

www.wdnyw.gov.cn 甘肃省是 

rfb.huizhou.gov.cn 广东省否 

qywjm.gov.cn 广东省否 

www.qywjm.gov.cn 广东省否 

www.fcq.gov.cn 广西壮族自治区否 

jcjga.gov.cn 广西壮族自治区否 

anguo.gov.cn 河北省是 

jyjcjb.gov.cn 河南省是 

www.ycfcglj.gov.cn 湖北省是 

www.szst.gov.cn 湖北省否 

www.zjjrs.gov.cn 湖南省否 

注 8:CNCERT 根据网站的域名对其进行分类 , 其中 COM 代表商业机构、GOV 代表政府部门、NET 代表网络 

组织、ORG 代表非盈利组织、EDU 代表教育机构、BIZ 代表商业等。我国境内政府网站是指英文域名以 “.gov.cn” 

结尾的网站 , 但不排除个别非政府部门也使用 “.gov.cn” 的情况。表格中仅列出了被篡改网站或被挂马网站的 

域名 , 而非具体被篡改或被挂马的页面 URL。 

5

被篡改网站所属地区是否恢复 

pjdrc.gov.cn 辽宁省是 

www.nxgljs.gov.cn 宁夏回族自治区否 

www.nxgl.gov.cn 宁夏回族自治区否 

www.qtxny.gov.cn 宁夏回族自治区否 

tazzfdc.gov.cn 山东省是 

zbarb.gov.cn 山东省否 

www.zbmzh.gov.cn 山东省否 

sh120.gov.cn 上海市否 

lacs.gov.cn 浙江省否 

本周监测发现境内被植入后门的网站数量为 2661 个 , 较上周环比大幅增加了 8.8 倍 , 

按类型分布情况如下图所示 , 数量最多的仍是 COM 类网站。其中 ,GOV 类网站有 118 个 

( 约占境内 4.4%), 较上周环比大幅增加了 5.6 倍。 

根据通信行业各互联网信息通报成员单位报送数据 , 本周共发现境内被挂马网站数量 

为 168 个 ( 去重后 )。其中 ,GOV 类网站有 42 个 ( 约占境内 25%)。各单位报送数量如下 

图所示。 

6

截至 10 月 15 日 12 时 , 仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏、色情 

网站链接 ) 的政府网站如下表所示。 

被挂马或被植入不正当广告链接的网站 

www.gzsadr.gov.cn 

www.zbarb.gov.cn 

www.hailin.gov.cn 

所属地区 

贵州省 

河南省 

黑龙江省 

此外 , 网站面临的另一类安全威胁是网页仿冒 , 即黑客通过构造和散播与某一目标网 

站高度相似的页面 ( 俗称钓鱼网站 ), 诱骗用户访问 , 以获取用户个人秘密信息 ( 如银行账 

号和账户密码 )。本周 CNCERT 监测发现针对境内网站的仿冒页面数量为 4648 个 , 较上周 

环比大幅增加了 27.3 倍。其中 , 仿冒页面涉及域名 706 个 ,IP 地址 321 个 , 平均每个 IP 

地址约承载了 14 个仿冒页面。 

本周事件处理情况 

1、本周处理各类事件数量 

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件 , 以及自主监测 

发现的网络安全事件 ,CNCERT 根据事件的影响范围和存活性、涉及用户的性质等因素 , 

筛选重要事件进行协调处理。 

本周 ,CNCERT 通过与基础电信运营商、域名注册服务机构的合作机制 , 以及反网络 

病毒联盟 (ANVA) 的工作机制 , 共协调处理了 264 起网络安全事件。 

2、本周恶意域名和恶意服务器处理情况 

7

依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律 

法规的规定 , 本周 ANVA 在中国电信等基础电信运营企业以及爱名网、东南融通、花生壳、 

江苏邦宁、上海有孚、万网、西部数码、希网、厦门易名、新网互联、新网数码等域名注 

册服务机构的配合和支持下 , 并通过与境外域名注册商和国际安全组织的协作机制 , 对 221 

个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机 IP 采取了处置措施。详细 

列表如下所示。 

9 

处置原因处置域名列表处置服务器列表 

传播恶意代码 

仿冒农业银行 

仿冒工商银行 

d.cdanju.com、down.doudouguo.com、frt45.com、globalmix.pl、 

good.kg988.com、ipo90.com、ou.aiku8.com、qazza.net、 

qq77306688.9966.org、sjijhrehe.com、storage.jmp.net.cn、 

thejaz.org、tutti89.com、update.baiduhenmang.com、 

update.popupgrade.com、wedd34.com、www.520qiuzhihan.com、 

www.dd223.com、www.xx440.com、yerty90.com、zj01.8800.org 

lbstar.ccob.com.con.jghad83k.tkakoal.tkgjsaa.hsi93kfkat.tk、 

www95a-r.hjso84jka.tk、qi.ndd9ejh3g.com、cutwfb.com、 

aoiget.nut.cc、akhda.co.cc、ingiooge.com、s0.endi0g0.com、 

4nfnhr1.net、huahua00.com、kuai.i8hgf9hg0.com、sfjixb.com、 

lbstar.ccob.cow.con.jghadk.hk.tc、ww.haoseflol.int.tc、 

www.138so.co.cc、www.fuyuan99pt.info、er.incft1.com、 

h.fj1ryhpet1dhrv.com、p.fj1ryhpet1dhrv.com、q.fj1ryhpet1dhrv.com、 

san.incft1.com、si.incft1.com、wu.incft1.com、yi.incft1.com、 

ccbcomj.us12.beidc.net、lailewo123.oicp.net、www.biomerc.usa.cc、 

wwwwidue9o.ljjr.info、lailewo888.vicp.cc、shaziguazi50.xicp.net、 

shdunghjdksaa.vicp.cc、lbstar.cob.cow.con.jdk.gaf.shop.tc、 

lbc.ccb.cem.con.l9vz-mvdmjfoik.h46jaunmva.ha.gnkyo.info、 

booc.axxzca.cu.cc、item.taobao.com.lhrtqa.tld.cc、 

wwia.alofaef.shop.tc、xlksahf.nut.cc、www.193so.co.cc、 

www.aoved.ifnxs.com、www.ivefac.ifnxs.com、lailewo999.xicp.net、 

ba.4icivin1.com、ba.diaoyudao5.com、jiu.diaoyudao5.com、 

liu.4icivin1.com、qi.4icivin1.com、shi.diaoyudao5.com、 

si.4icivin1.com 

akhda.co.cc、aoiget.nut.cc、b.fj1ryhpet1dhrv.com、 

www.lexiangdb.com、feihuixuan.w5.372891.com、 

www.icbc.com.olmdw.net、laile123.eicp.net、www.iawanggou.com、 

www.daodexinyu.com、ingiooge.com、s0.endi0g0.com、 

116.255.205.*、 

116.255.233.*、 

218.83.160.*、 

218.83.160.*、 

222.35.31.*、 

222.73.178.*、 

58.215.64.*、 

61.152.239.*、 

61.152.239.*、 

61.152.91.* 

222.168.48.*、 

221.239.31.*、 

218.90.161.*、 

218.97.194.*、 

124.172.223.*、 

211.95.79.*、 

119.161.219.*、 

211.86.191.*、 

221.239.60.*、 

122.228.145.*、 

221.178.225.*、 

221.178.132.*、 

221.176.167.*、 

221.214.98.*、 

221.214.4.*、 

218.242.182.*、 

223.7.23.*、 

58.211.82.*、 

59.188.239.*、 

124.95.128.*、 

221.6.241.* 

注 9:CNCERT 不公开服务器的具体 IP, 其中 * 代表数字 0-255, 可能会出现同一 C 段的多个 IP 使用相同的表示 

方式。 

8

仿冒浙江卫视 

仿冒中国银行 

仿冒淘宝网站 

仿冒腾讯网站 

仿冒湖南卫视 

仿冒央视 

仿冒新浪微博 

仿冒其他网站 

4nfnhr1.net、huahua00.com、kuai.i8hgf9hg0.com、cf1818.oicp.net、 

www.fufu1.tk、www95a-r.hjso84jka.tk、www.11fufu.tk、 

wwwso-fa.ahkitak.tk、cutwfb.com、bdftgqwe.usa.cc、huzgtg.usa.cc、 

booc.ahjjnbb.cu.cc、booc.ereecc.cu.cc、uuyrqfff.usa.cc、 

www.tu18.info、www.158so.co.cc、detarl.js253-201209220.lneuew.tk、 

booc.fbssgb.cu.cc、mopstr.ibiz.cc、www.138so.co.cc、 

cf5566.xicp.net、cf5656.eicp.net、qqzf1yq.s.3322.net、wrbskt.tk、 

www.ht18.info、www.icbcuxu.tk、www.spfw.usa.cc 

zghsyhd.com、ccntv266.com、hnmab.com、zjhaosy.com、 

hsyi5.com、haosyincq.com、ssytv.com、hsy5.net、zjktvm.com、 

hsyot.com、hsycv.com、hnasy3.com、688ge.com、haosyi6.com、 

hsy12.com、616ge.com、HSYZ6.com、zghsy899.com、kueev.com、 

hazsy5.com、hansy8.com、hnasy8.com、hsy36.com、hsy38.com、 

hsy63.com、zjws3v.com、nka9.com、zjhaoshengyi.com、 

zghsy4.com 

yhdea.com、www.cnbocsj.com、www.zobooc.com、 

www.zzboor.com、www.fmboc.com、www.boccwh.com、 

www.ddboc.com、www.boc.int.tf、item.taobao.com.lhrtqa.tld.cc、 

www.bocwwh.com、www.zcbooc.com、www.robuc.com、 

www.bocawh.net、www.boocwh.com、www.fvboc.com、 

www.zzboc.com、www.cnbocbc.com、www.robooc.com、 

www.zzbooc.com、www.bocawh.com、www.zgyhboc.com、 

www.zobcbb.com、www.bocowh.com 

9zm-taobao.com、ccm-taobao.com、wzw-taobao.com、 

wez-taobao.com、taobao-st9.com、taobao-9ht.com、taobao-hvx.com 

qq824.info、tskz.net、txqq3308.com、txpqa.com、3308tx.com、 

y9758.com 

dbynn.com、dbyff.com、hunanak4.com、hunanye9.com、 

ssdt588.com 

tx2232.com、xgddwzz.com、cctv3-uy.com、tte3e.com、1-b.in 

ru.nu 

casbnm.com、acmrmn.com、amnxcnm.com、canhmn.com、 

amxncin.com、jzzhidao.com、jszgrd-edu.com 

本周重要安全漏洞 

本周 , 国家信息安全漏洞共享平台 (CNVD) 10 整理和发布以下重要安全漏洞 , 详细的 

漏洞信息请参见 CNVD 漏洞周报 (www.cnvd.org.cn/reports/list)。 

注 10:CNVD 是 CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网 

企业建立的信息安全漏洞信息共享知识库 , 致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应 

急处理体系。 

9

1、Mozilla 产品安全漏洞 

Mozilla Firefox/SeaMonkey/Thunderbird 是 Mozilla 所发布的 WEB 浏览器 / 新闻组客户端 

/ 邮件客户端。本周 , 上述产品被披露存在多个安全漏洞 , 攻击者利用漏洞可使应用程序崩 

溃 , 执行任意代码。 

CNVD 收录的相关漏洞包括 :Mozilla Firefox/Thunderbird/SeaMonkey 内存错误引用漏 

洞 (CNVD-2012-15071、CNVD-2012-15076、CNVD-2012-15074、CNVD-2012-15072)、 

Mozilla Firefox/Thunderbird/SeaMonkey 缓冲区溢出漏洞 (CNVD-2012-15080)、 Mozilla 

Firefox/Thunderbird/SeaMonkey insPos 内存破坏漏洞、 Mozilla 

Firefox/Thunderbird/SeaMonkey 堆缓冲区溢出漏洞 ( CNVD-2012-15082 )、 Mozilla 

Firefox/Thunderbird/SeaMonkey instanceof 拒绝服务漏洞等。上述漏洞的综合评级均为 “ 高 

危 ”。厂商已经修复了上述漏洞 ,CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相 

关的网络安全事件。 

2、Adobe 产品安全漏洞 

Adobe Flash Player 是一款 Flash 文件处理程序。本周 , 该产品被披露存在多个安全漏 

洞 , 攻击者利用漏洞可执行任意代码。 

CNVD 收录的相关漏洞包括 : Adobe Flash Player/AIR 内存破坏漏洞 

(CNVD-2012-14972、CNVD-2012-14943、CNVD-2012-14940)、 Adobe Flash Player/AIR 

缓冲区溢出漏洞 ( CNVD-2012-14941 、 CNVD-2012-14939 、 CNVD-2012-14928 、 

CNVD-2012-14953、CNVD-2012-14951) 等。其中 , 上述漏洞的综合评级均为 “ 高危 ”。目 

前 , 厂商已经修复了上述漏洞。CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相 

关的网络安全事件。 

3、Cisco 产品安全漏洞 

Cisco WebEx 是思科提供的一款网络会议解决方案 , 用于播放与会者在电脑上所记录 

的 WebEx 会议记录 ;Cisco Firewall Services Module 是一款防火墙服务模块 ;Cisco Adaptive 

Security Appliance 是一款自适应安全设备 , 可提供安全和 VPN 服务的模块 ;Cisco Catalyst 

是思科公司开发的智能以太网交换机。本周 , 上述 Cisco 产品被披露存在多个安全漏洞 , 

攻击者利用漏洞可发起拒绝服务攻击 , 执行任意代码。 

CNVD 收录的相关漏洞包括 :Cisco WebEx Player 缓冲区溢出漏洞 (CNVD-2012-15094、 

CNVD-2012-15097 、 CNVD-2012-15091 、 CNVD-2012-15095 、 CNVD-2012-15090 、 

CNVD-2012-15093)、多个 Cisco 产品远程拒绝服务漏洞 (CNVD-2012-15087)、 Cisco ASA 

5500/Cisco Catalyst 6500 DHCP 拒绝服务漏洞等。上述漏洞的综合评级均为 “ 高危 ”。厂商 

已经修复了上述漏洞。CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相关的网络 

10

安全事件。 

4、Google 产品安全漏洞 

Google Chrome 是一款开源的 WEB 浏览器。本周 , 该产品被披露存在多个漏洞 , 远程 

攻击者利用漏洞可使应用程序崩溃或执行任意代码。 

CNVD 收录的相关漏洞包括 :Google Chrome 存在多个漏洞 (CNVD-2012-15106)、 

Google Chrome ICU 处理漏洞、Google Chrome Compositor 越界读漏洞、Google Chrome 音 

频设备处理漏洞、Google Chrome 插件崩溃未处理漏洞、Google Chrome Skia 拒绝服务漏洞。 

其中 , 除 “Google Chrome Skia 拒绝服务漏洞 ” 外 , 其余漏洞的综合评级均为 “ 高危 ”。厂 

商已经修复了上述漏洞。CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相关的网 

络安全事件。 

5、GOM Player 空指针引用拒绝服务漏洞 

Gom Player 是一款媒体播放软件。本周 ,Gom Player 被披露存在一个综合评级为 “ 高 

危 ” 的拒绝服务漏洞。攻击者利用漏洞可构建恶意文件 , 诱使用户解析 , 使应用程序崩溃。 

目前 , 互联网上已经出现了针对该漏洞的攻击代码 , 厂商尚未发布该漏洞的修补程序。 

CNVD 提醒广大用户随时关注厂商主页以获取最新版本。 

更多高危漏洞见下表所示 , 详细信息可根据 CNVD 编号 , 在 CNVD 官网 

(www.cnvd.org.cn) 进行查询。 

CNVD 编号漏洞名称综合评级修复方式 

CNVD-2012 

-15110 

CNVD-2012 

-15089 

CNVD-2012 

-15050 

CNVD-2012 

-15061 

CNVD-2012 

-15021 

CNVD-2012 

-15092 

WordPress WP Live.php 

's' 参数跨站脚本漏洞 

高暂无 

用户可参考如下供应商提供的安全公告获得 

OpenX SQL 注入漏洞高 

补丁信息 : 

https://svn.openx.org/openx/trunk/www/admin/ 

campaign-zone-link.php 

Snitz Forums 2000 

'TOPIC_ID' SQL 注入漏高暂无 

洞 

Pre Printing Press id 参 

数 SQL 注入漏洞 

高暂无 

Siemens SiPass 

用户可联系厂商获得升级版本 : 

Integrated 'SiPass server' 高 

http://www.siemens.com/ 

组件缓冲区溢出漏洞 

SenseSites 

CommonSense CMS 高暂无 

SQL 注入漏洞 

CNVD-2012 VLC Media Player 读访高暂无 

11

-15104 问冲突任意代码执行漏 

洞 

Drupal Drag 和 Drop 

CNVD-2012 

Gallery 任意代码执行漏 

-14969 

洞 

CNVD-2012 Arctic Torrent 远程内存 

-15004 破坏漏洞 

Linux 内核 

CNVD-2012 

udf_load_logicalvol 堆缓 

-14932 

冲区溢出漏洞 

CNVD-2012 PLIB 'ssgParser.cxx' 远程 

-15016 栈缓冲区溢出漏洞 

高 

高 

高 

高 


补丁信息 : http://drupal.org/node/1679444 

暂无 


补丁信息 : 

http://git.kernel.org/?p=linux/kernel/git/torvald 

s/linux-2.6.git;a=commit;h=adee11b2085bee90 

bd8f4f52123ffb07882d6256 

暂无 

小结 : 本周 ,Google Chrome 浏览器被披露存在多个安全漏洞 , 攻击者利用漏洞可执行 

任意代码 , 有可能发起大规模挂马攻击 , 请广大浏览器用户安装主机防护软件加强防范。 

Mozilla、Adobe、Cisco 的多款产品也被披露存在多个安全漏洞 , 攻击者利用漏洞可发起拒 

绝服务攻击或执行任意代码。此外 ,Gom Player 播放器软件被披露存在零日漏洞 , 建议采 

用该软件的用户随时关注厂商主页 , 以及时获取修复补丁或解决方案。 

二、业界新闻速递 

网络安全事件与威胁 

1、全球百所大学被黑客入侵 12 万账户信息被窃取 

搜狐 10 月 8 月消息国外媒体报道 , 一个名为 “Team GhostShell” 的黑客团伙在 Twitter 

上宣布 , 该组织近日入侵了全球 100 所大学的服务器 , 共窃取了近 12 万账户信息 , 并将这 

些信息公布于众。该黑客组织称 , 他们入侵这些学校的服务器并非出于商业或者恶意目的 , 

只是为了引起大学重视安全问题 , 该黑客组织公布称 , 他们入侵时发现许多服务器早就藏 

有恶意软件 , 安全意识很淡薄 , 他们的行动目的是提高大众注重大学的信息安全问题 , 并 

指责当前的教育政策等相关问题。英国的剑桥、美国的哈佛大学、斯坦福大学、普林斯顿 

大学以及日本的东北大学、东京大学、名古屋大学、京都大学、大阪大学等多所世界著名 

大学的服务器都遭入侵。安全公司 Identity Finde 分析黑客的资料发现 , 这些资料含有 3.6 

万个电子邮件帐号 , 大约 1 万条其他信息包含姓名、电话、地址、生日、婚姻状态、种族 

等等 , 不过并没有信用卡、身份证号、银行帐号等敏感信息。部分帐号的密码仍为 Hash 

加密状态 , 但大部分的密码为明码方式呈现。该公司认为遭入侵的服务器可能遭受典型的 

SQL Injection 攻击而导致资料外泄 , 且遭攻击的服务器都位于分支机构 , 而这些大学的中 

12

央网络系统可能都未被入侵。 

2、黑客瞄上 “ 莫言 ” 网购下载谨防中招 

凤凰网 10 月 13 日消息 , 随着莫言成为第一个获得诺贝尔文学奖的中国人 , 其作品瞬 

间成为了网友热捧对象 , 短短时间内 , 已有多家电商表示相关书籍脱销 , 其主要作品的电 

子版也被网友争相下载。不过正在此时 , 一些不法黑客也蠢蠢欲动。多家安全中心昨日发 

出警告称 : 黑客将借机大肆传播钓鱼网站和捆绑病毒的电子书 , 广大网民无论是在线购书 

还是下载 , 都需谨慎。据安全专家介绍 , 目前在线购书一般分两种 , 一种是向电商购买纸 

质图书 , 另一种是在阅读网站上购买电子版图书 , 无论是哪一种方式用户都应小心网络钓 

鱼欺诈。一些黑客以限量库存名义诱骗用户订购 , 从而设下钓鱼陷阱。另外 , 很多不正规 

的在线阅读网站也会以热点阅读的名义 , 诱导用户付费浏览 , 骗取用户钱财 , 甚至窃取用 

户网银账号。安全专家还提示 , 黑客往往喜欢以热门书籍书名制作带有病毒的 chm、exe 

和 rar 等文件来诱骗网友 , 用户一旦下载就会感染病毒。 

3、菲律宾呼吁 “ 黑客 ” 停攻击 

新华网 10 月 8 日消息菲律宾官员 10 月 8 日说 , 一部针对网络犯罪的法律引起争议 , 

激怒 “ 黑客 ” 攻击发布自然灾害应急信息的网站。这部法律旨在打击网络诈骗、个人身份 

信息盗窃、垃圾邮件和儿童色情。反对者指认法律限制自由。总统贝尼尼奥 · 阿基诺 10 月 

5 日为法律辩解 , 而他的发言人阿比盖尔 · 瓦尔特第二天就披露黑客攻击事件 , 涉及政府 

发布自然灾害应急信息的网站以及气象、地震和海啸监测机构、社会福利机构在社交网站 

的账户。瓦尔特呼吁停止网络攻击 :“ 许多人受到影响 „„ 我们知道 ( 一些网民 ) 反对《国 

家网络犯罪预防法》, 其实有其他方式表达 ”。她没有披露网站遭破坏程度 , 所涉及的网站 

似乎 10 月 6 日下午开始恢复运行。 

4、微软发布十月安全更新 Office 组件漏洞再现 

光明网 10 月 10 日消息微软在今天凌晨发布 10 月份例行安全更新 , 本次更新修复了 

7 个安全漏洞 , 影响 Microsoft Office 2003, 2007 和 2010 版的漏洞被定义为严重级别 , 其他 

6 个面向 Windows、SQL 和 Lync 的补丁被评级为 “ 重要 ”, 漏洞暂不涉及即将上市的 Windows 

8。公告编号 MS12-064 的安全漏洞与普通网友关系比较大。攻击者利用该漏洞蓄意构造特 

制的 RTF 文件 , 再发给特定的攻击目标 , 打开这种特制的 RTF 文件会被植入木马。另一个 

与 SQL 服务有关的漏洞可能导致 XSS( 跨站脚本 ) 攻击 , 攻击者把利用此漏洞特制的链接发 

送给用户 , 用户点击链接后可以运行第三方站点的有害代码。安全专家建议用户立即修复 

漏洞 , 及时预防可能到来的黑客攻击。 

5、警报 : 黑客谋划大规模攻击 30 家网上银行 

腾讯网 10 月 9 日消息 RSA 诈欺行为研究团队研究员 Mor Ahuvia 表示 , 某个网络犯罪 

13

组织近期可能会针对美国 30 家银行发动攻击。该组织有可能联合 100 个控制僵尸网络的罪 

犯 , 在秋季展开攻击 ,RSA 相信这是近期针对银行规模最大的木马攻击行动。RSA 研究团 

队在监控地下论坛交谈内容时发现相关信息 , 犯罪组织准备使用 Gozi 木马展开攻击。Gozi 

来自俄文 Gozi Prinimalka, 意思为 “ 接收 ”。监听内容显示 , 网络犯罪组织正在布署木马 , 

完成之后就可以使用中间人手法拦截汇款交易。Gozi 木马入侵受害者的电脑之后 , 会利用 

虚拟机器同步受害人 PC, 将受害者 PC 的软硬件配置如屏幕分辨率、时区、浏览器种类包 

括 IE 证书等传回服务器 , 并建立一个可以完全替代受入侵设备的虚拟机。由于虚拟机内包 

含证书软件、最后使用的合法 IP 及浏览器 cookie 等资料 , 因此黑客可以在虚拟机器中执行 

转帐等银行业务。研究团队认为 , 黑客针对美国地区的网络银行发动攻击 , 虽然动机有可 

能是反美意识等 , 但主要原因还是因为美国银行不像欧洲或中国地区普遍使用双认证 

(two-factor authentication), 在技术上更容易攻击成功。RSA 认为 , 自 2008 以来美国地区 

的银行已经被使用网络木马 Gozi 的犯罪集团取走约 500 万美元。安全专家建议使用者应随 

时使用最新版本的浏览器 , 并注意银行帐户的不正常变化。银行方面则应该考虑更严格的 

认证机制及定期发布预警 , 并监控异常的汇款转帐交易 

业界动态 

6、谷歌再次举办黑客大赛希望黑客攻破 Chrome 

赛迪网讯 10 月 12 日消息 , 据国外媒体报道 , 谷歌非常迫切地想要 Chrome 跟随自己 

的发展步伐 , 因此谷歌正在为第二届 Pwnium 黑客大赛做相关准备 , 这是谷歌所组织的第 

二届安全挑战大赛。这一挑战主要是要让黑客们接受挑战 , 能够攻破 Chrome 浏览器 , 越 

过 Sandbox( 沙盒 ), 或者至少利用 Chrome 中所存在的一至两个漏洞 , 从而控制一台电脑。 

最终获胜者将获得奖金支持 , 谷歌并未透露确切的奖金数额。谷歌解释道 ,“ 安全性是 

Chrome 的核心准则 , 我们与安全社群开展密切合作 , 以继续确保用户网络浏览更加安全。 

为了达到这一目的 , 我们将在本周在马来西亚首都吉隆坡举办 Pwnium2 黑客大赛 , 此次大 

赛的名称为 „Pwnium 2 at Hack in the Box 2012‟。” 按照以往的惯例 , 并不会对符合获奖资格 

的参加者进行公开报道。第一届 Pwnium 黑客大赛应该是非常成功的 , 只有两名参赛者获 

奖 , 并且这两种攻破方式都非常复杂 , 都是利用 Chrome 漏洞全面控制一台电脑。两位参 

赛者都得到了最高奖励。 

关于国家互联网应急中心 (CNCERT) 

国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称是 

CNCERT 或 CNCERT/CC) 成立于 1999 年 9 月 , 是工业和信息化部领导下的国家级网络安 

全应急机构 , 致力于建设国家级的网络安全监测中心、预警中心和应急中心 , 以支撑政府 

14

主管部门履行网络安全相关的社会管理和公共服务职能 , 支持基础信息网络的安全防护和 

安全运行 , 支援重要信息系统的网络安全监测、预警和处置。国家互联网应急中心在我国 

大陆 31 个省、自治区、直辖市设有分中心。 

联系我们 

如果您对 CNCERT《网络安全信息与动态周报》有何意见或建议 , 欢迎与我们的编辑 

交流。 

本期编辑 : 王文娟 

网址 :www.cert.org.cn 

email:cncert_report@cert.org.cn 

电话 :010-82990316 

15

网络安全信息与动态周报-2012年第42期 - 国家互联网应急中心

Create successful ePaper yourself

Delete template?

Save as template?