网络安全信息与动态周报-2010年第8期(点击下载) - 国家互联网应急中心

cert.org.cn

网络安全信息与动态周报-2010年第8期(点击下载) - 国家互联网应急中心

国 家 互 联 网 应 急 中 心

网 络 安 全 信 息 与 动 态 周 报

2010 年 8 期

2010 年 3 月 3 日

一 、 本 周 网 络 安 全 基 本 态 势 (2 月 22 日 -2 月 28 日 )


良 中 差 危

本 周 互 联 网 网 络 安 全 态 势 整 体 评 价 为 中 。 我 国 互 联 网 基 础 设 施 运 行 平 稳 , 全 国 范 围 或

省 级 行 政 区 域 内 未 发 生 造 成 较 大 影 响 的 基 础 设 施 运 行 安 全 事 件 。 针 对 政 府 、 企 业 以 及 广 大

互 联 网 用 户 的 主 要 安 全 威 胁 来 自 于 软 件 高 危 漏 洞 、 黑 客 恶 意 代 码 传 播 活 动 以 及 网 页 篡 改 。

依 据 CNCERT 抽 样 监 测 结 果 , 境 内 被 木 马 控 制 的 主 机 IP 地 址 数 目 为 2.3 万 个 , 与 前 一 周 环

比 增 长 69%; 境 内 被 僵 尸 网 络 控 制 的 主 机 IP 地 址 数 目 为 1.2 万 个 , 环 比 下 降 38%; 境 内 被

篡 改 政 府 网 站 数 量 为 106 个 , 环 比 下 降 27%。

本 周 重 点 网 络 安 全 事 件

1、2 月 27 日 新 华 网 温 家 宝 总 理 与 网 民 在 线 交 流 保 障 情 况

在 工 业 和 信 息 化 部 通 信 保 障 局 的 指 导 下 ,CNCERT 开 展 了 新 华 网 温 家 宝 总 理 与 网 民 在

线 交 流 保 障 工 作 。CNCERT 对 中 国 政 府 网 和 新 华 网 从 异 常 流 量 、 域 名 服 务 、 网 页 篡 改 、 木

马 和 僵 尸 网 络 等 各 个 方 面 开 展 24 小 时 连 续 监 测 , 在 线 交 流 期 间 未 发 生 大 规 模 网 络 安 全 事

件 , 网 络 安 全 态 势 整 体 平 稳 。

此 外 ,2 月 26 日 CNCERT 组 织 基 础 电 信 运 营 商 、 域 名 注 册 管 理 和 服 务 机 构 对 网 上 木 马

和 僵 尸 网 络 开 展 了 专 项 清 理 。 在 各 单 位 的 积 极 配 合 下 , 快 速 处 理 境 内 外 控 制 服 务 器 近 100

个 。 专 项 打 击 后 , 僵 尸 网 络 受 控 主 机 数 大 幅 下 降 , 有 效 保 证 了 保 障 期 间 良 好 的 网 络 环 境 。

2、 境 内 政 府 网 站 被 篡 改 情 况

本 周 CNCERT 监 测 发 现 , 境 内 被 篡 改 网 站 数 量 较 上 周 增 长 8%, 个 别 省 部 级 政 府 网 站

位 列 其 中 。 截 至 3 月 1 日 15 时 仍 未 恢 复 的 被 篡 改 的 部 分 地 市 级 以 上 ( 含 地 市 级 ) 政 府 部 门

网 站 如 下 表 所 示 。

被 篡 改 页 面 URL 所 属 部 门 或 地 区 级 别

http://ahcgw.ahinfo.gov.cn/index.asp 安 徽 省 省 部 级

http://orac.hainan.gov.cn 海 南 省 省 部 级

http://tiaoma.scbzhy.gov.cn/index.htm 四 川 省 省 部 级

http://bzqts.gov.cn/index.htm 安 徽 省 亳 州 市 地 市 级

http://czqs.gov.cn/default.asp 安 徽 省 滁 州 市 地 市 级

http://www.chinahuangshan.gov.cn/NewFolder./1.asa 安 徽 省 黄 山 市 地 市 级

1


http://www.hsswhj.gov.cn/indonesia.txt 安 徽 省 黄 山 市 地 市 级

http://zwgk.ahsz.gov.cn/admin/NewFolder./1.asa 安 徽 省 宿 州 市 地 市 级

http://www.npswzzb.gov.cn/default.asp 福 建 省 南 平 市 地 市 级

http://lbj.maoming.gov.cn/help.asp 广 东 省 茂 名 市 地 市 级

http://mmgpc.maoming.gov.cn/help.asp 广 东 省 茂 名 市 地 市 级

http://swj.maoming.gov.cn/help.asp 广 东 省 茂 名 市 地 市 级

http://wsjd.maoming.gov.cn/help.asp 广 东 省 茂 名 市 地 市 级

http://www.cgb.lg.gov.cn/indonesia.txt 广 东 省 深 圳 市 龙 岗 区 地 市 级

http://www.tj.lg.gov.cn/index.htm 广 东 省 深 圳 市 龙 岗 区 地 市 级

http://www.szjs.gov.cn/index.htm 广 东 省 深 圳 市 某 局 地 市 级

http://beihaire.gov.cn/help.asp 广 西 自 治 区 北 海 市 地 市 级

http://cz.yindu.gov.cn/index.htm 河 南 省 安 阳 市 地 市 级

http://bm.yindu.gov.cn/index.htm 河 南 省 安 阳 市 地 市 级

http://rs.yindu.gov.cn/index.htm 河 南 省 安 阳 市 地 市 级

http://www.kfhb.gov.cn/indonesia.txt 河 南 省 开 封 市 地 市 级

http://tzb.hrbcs.gov.cn/index.htm 黑 龙 江 省 哈 尔 滨 市 地 市 级

http://www.hrbcs.gov.cn/indonesia.txt 黑 龙 江 省 哈 尔 滨 市 地 市 级

http://sdl.hrbcs.gov.cn/index.htm 黑 龙 江 省 哈 尔 滨 市 地 市 级

http://www.cznyw.gov.cn/default.asp 湖 南 省 郴 州 市 地 市 级

http://czradio.gov.cn/index.htm 湖 南 省 郴 州 市 地 市 级

http://cj.hnloudi.gov.cn/hex.htm 湖 南 省 娄 底 市 地 市 级

http://www.ccdrc.gov.cn/admin/jsinc/admin.asp 吉 林 省 长 春 市 地 市 级

http://www.lygda.gov.cn 江 苏 省 连 云 港 市 地 市 级

http://lhzw.gov.cn/aspx.aspx 江 苏 省 南 京 市 地 市 级

http://wuliu.sqdmz.gov.cn/system_dntb/upload/

201021121141667.txt

江 苏 省 宿 迁 市

地 市 级

http://www.jsyz-l-tax.gov.cn/index.html 江 苏 省 扬 州 市 地 市 级

http://www.yzjggw.gov.cn/indonesia.txt 江 苏 省 扬 州 市 地 市 级

http://zj.jssalt.gov.cn/default.asp 江 苏 省 镇 江 市 地 市 级

http://www.fszwgk.gov.cn/fushunxian/admin/aa./aa.asp 辽 宁 省 抚 顺 市 地 市 级

http://www.xqq.gov.cn/index.htm 宁 夏 回 族 自 治 区 银 川 市 地 市 级

http://www.qtx.gov.cn/help.asp 宁 夏 自 治 区 青 铜 峡 市 地 市 级

http://wsj.qbj.gov.cn/index.htm 四 川 省 成 都 市 地 市 级

http://www.ybzj.gov.cn/indonesia.txt 四 川 省 宜 宾 市 地 市 级

http://www.tjhpfgj.gov.cn/indonesia.txt 天 津 市 和 平 区 地 市 级

http://jdk.gov.cn/default.asp 浙 江 某 省 级 开 发 区 地 市 级

2


本 周 活 跃 恶 意 域 名

本 周 较 为 活 跃 的 恶 意 域 名 如 下 表 所 示 , 其 中 ,*.bij.pl、*.wwvv.us、*.3322.org 等 大 量

动 态 域 名 被 黑 客 用 作 挂 马 源 地 址 。 通 过 对 *.bij.pl、*.wwvv.us 等 恶 意 域 名 的 命 名 规 则 进 行 分

析 发 现 , 这 些 恶 意 域 名 为 同 一 黑 客 或 挂 马 集 团 所 掌 握 , 他 们 的 惯 用 手 法 就 是 通 过 变 换 域 名

来 规 避 打 击 。

adc.bij.pl、adf.bij.pl、adb.bij.pl、ada.bij.pl、aek.bij.pl、aen.bij.pl

vvvv.wwvv.us、w212.2.wwvv.us、wvw21.vv.wwvv.us、w324.vv.wwvv.us

wwv2.8vv.wwvv.us、wvv23v.wwvv.us、v2.vv2.wwvv.us、vww32.vv.wwvv.us

web.nba1001.net

nje8.cn、nje7.cn

yoy.yoy.cn

jzlxwhg.3322.org

xm002.3322.org

qjvod.3322.org

注 : 根 据 华 为 、 奇 虎 、 知 道 创 宇 、 启 明 星 辰 、 安 天 等 企 业 报 送 的 网 页 挂 马 信 息 整 理 。

此 外 , 一 些 网 站 由 于 安 全 管 理 措 施 不 严 或 对 用 户 上 传 的 文 件 检 查 审 核 不 严 格 , 被 黑 客

多 次 用 作 挂 马 跳 转 地 址 或 上 传 恶 意 程 序 , 用 户 访 问 其 网 站 相 关 地 址 即 被 挂 马 。 部 分 网 站 举

例 如 下 。

www.landuncctv.com

bbs.xcdx169.net

game.hsw.cn

jkwd.xywy.com

www.oxkd.net

南 阳 市 蓝 盾 智 能 安 防 工 程 有 限 公 司

西 昌 之 家 论 坛

华 商 网 游 戏 频 道

寻 医 问 药 网 健 康 问 答 频 道

新 乡 市 偶 像 快 递 网

本 周 活 跃 恶 意 代 码

名 称

Trojan.DL.PicFrame.a

Trojan.DL.Giframe.a

Hack.Exploit.Script.JS.Agent.ju

特 点

这 是 一 个 下 载 者 病 毒 , 利 用 浏 览 器 查 看 图 片 文 件 解

析 漏 洞 进 行 传 播 。 该 病 毒 在 JPG 文 件 末 尾 附 加 了 包 含 恶

意 网 站 链 接 的 , 由 于 iframe 的 width 和

height 都 很 小 , 用 户 极 易 在 未 察 觉 的 情 况 下 访 问 恶 意 网

址 。

这 是 一 个 下 载 者 病 毒 , 利 用 浏 览 器 GIF 文 件 解 析 漏

洞 进 行 传 播 。 黑 客 通 过 诱 导 用 户 浏 览 含 有 恶 意 代 码 的 GIF

文 件 的 网 页 , 来 控 制 用 户 连 接 到 特 定 的 包 含 恶 意 程 序 的 网

页 。Windows 图 片 查 看 器 打 开 含 有 恶 意 代 码 的 GIF 文 件

不 受 影 响 。

该 病 毒 是 一 段 加 密 病 毒 脚 本 , 利 用 RealPlay 播 放 器

的 溢 出 漏 洞 下 载 病 毒 文 件 进 行 执 行 和 传 播 。 病 毒 会 将 网 页

脚 本 加 密 成 乱 码 字 符 , 普 通 用 户 很 难 知 道 这 是 一 段 病 毒 代

码 。 病 毒 通 过 调 用 RealPlayer 组 件 , 用 病 毒 作 者 特 定

3


Worm.Win32.MS08-067.c

Trojan.Win32.ACAD.r

shellcode 溢 出 , 成 功 之 后 , 就 会 打 开 病 毒 作 者 的 下 载 地 址 ,

下 载 运 行 其 他 病 毒 。

这 是 一 个 以 微 软 系 统 MS08-067 漏 洞 为 主 要 传 播 手

段 的 蠕 虫 病 毒 。 另 外 该 病 毒 亦 可 通 过 U 盘 以 自 动 加 载 运

行 的 方 式 进 行 传 播 、 并 且 由 于 病 毒 自 身 带 一 个 弱 密 码 表 ,

会 猜 解 网 络 中 计 算 机 的 登 录 密 码 , 通 过 局 域 网 传 播 。

该 病 毒 采 用 Lisp 语 言 编 写 , 利 用 Autocad 程 序 运 行

时 感 染 其 他 Lisp 脚 本 进 行 传 播 。 病 毒 运 行 后 会 寻 找

acad.exe, 获 得 Autocad 的 安 装 目 录 ; 使 用 遍 历 文 件 的 方

法 在 Autocad 的 安 装 目 录 下 查 找 *.lsp 文 件 和 *.mnl 文 件 ,

当 用 户 打 开 这 些 文 件 时 , 病 毒 会 将 自 身 复 制 到 文 件 尾 , 用

户 运 行 这 些 被 感 染 的 脚 本 文 件 时 将 感 染 其 他 的 脚 本 文 件 。

注 : 根 据 瑞 星 等 企 业 报 送 的 恶 意 代 码 信 息 整 理 。

本 周 , 利 用 操 作 系 统 及 应 用 软 件 漏 洞 传 播 的 恶 意 代 码 仍 占 较 高 比 例 。CNCERT 提 醒 互

联 网 用 户 一 方 面 要 加 强 系 统 漏 洞 修 补 加 固 , 另 一 方 面 要 加 装 安 全 防 护 软 件 。

本 周 重 要 安 全 漏 洞

本 周 , 国 家 信 息 安 全 漏 洞 共 享 平 台 (CNVD) 整 理 和 发 布 以 下 重 要 安 全 漏 洞 信 息 。

1、IBM 多 个 产 品 登 录 页 面 存 在 跨 站 脚 本 漏 洞

IBM 多 个 产 品 使 用 的 WEB 内 容 管 理 登 录 页 面 存 在 跨 站 脚 本 漏 洞 , 攻 击 者 可 以 通 过 钓

鱼 邮 件 等 方 式 把 URL 发 送 给 用 户 , 用 户 解 析 此 链 接 就 可 能 执 行 注 入 脚 本 。 攻 击 者 成 功 利 用

该 漏 洞 可 劫 持 目 标 用 户 COOKIE 会 话 , 绕 过 安 全 验 证 获 得 用 户 敏 感 信 息 。

2、Linux Kernel 存 在 多 个 安 全 漏 洞 可 导 致 本 地 拒 绝 服 务 攻 击

Linux 是 一 款 开 放 源 代 码 的 操 作 系 统 。Linux Kernel 存 在 多 个 安 全 漏 洞 , 可 能 导 致 本 地

拒 绝 服 务 攻 击 。 具 体 漏 洞 包 括 :Linux Kernel hda-intel 驱 动 “azx_position_ok()” 拒 绝 服 务

漏 洞 、Linux Kernel RTO( 重 传 超 时 ) 远 程 拒 绝 服 务 漏 洞 、Linux Kernel TSB I-TLB 装 载 本 地

特 权 提 升 漏 洞 和 Linux Kernel PI Futex 非 法 指 针 应 用 本 地 拒 绝 服 务 漏 洞 。

3、WebKit 存 在 样 式 标 签 远 程 内 存 破 坏 漏 洞

WebKit 是 一 款 开 放 源 代 码 的 web 浏 览 器 引 擎 。 攻 击 者 可 以 通 过 构 建 恶 意 WEB 服 务 器 ,

发 送 包 含 畸 形 超 长 字 符 串 的 CSS 标 签 给 用 户 处 理 , 最 终 可 能 导 致 应 用 程 序 崩 溃 。 目

前 厂 商 尚 未 发 布 升 级 补 丁 , 请 用 户 随 时 关 注 厂 商 的 主 页 以 获 取 最 新 版 本 。

4、Google Picasa 存 在 整 数 溢 出 漏 洞

Picasa 是 一 款 Google 推 出 的 图 片 管 理 工 具 。 在 处 理 JPEG 文 件 时 ,PicasaPhotoViewer.exe

存 在 整 数 溢 出 漏 洞 。 攻 击 者 可 以 通 过 构 建 特 制 的 JPEG 文 件 , 诱 使 用 户 处 理 图 片 , 便 可 能

触 发 缓 冲 区 溢 出 , 最 终 导 致 攻 击 者 以 应 用 程 序 权 限 执 行 任 意 指 令 。

5、Adobe getPlus DLM 存 在 未 授 权 安 装 漏 洞

Adobe GetPlus DLM 是 一 款 用 于 下 载 安 装 Adobe 软 件 的 工 具 。Adobe GetPlus DLM 存

4


在 一 个 严 重 的 安 全 漏 洞 , 攻 击 者 可 以 利 用 此 漏 洞 在 用 户 使 用 下 载 管 理 器 时 读 取 和 下 载 攻 击

者 存 放 的 恶 意 程 序 列 表 , 进 而 控 制 用 户 主 机 。

小 结 : 上 述 CNVD 所 整 理 的 漏 洞 信 息 中 , 操 作 系 统 、web 浏 览 器 、Adobe 等 均 出 现 严

重 漏 洞 , 影 响 了 广 大 网 民 的 上 网 安 全 。 目 前 , 除 第 3 条 漏 洞 信 息 厂 商 尚 未 提 供 相 应 的 补 丁

程 序 外 , 其 他 漏 洞 信 息 均 有 修 复 方 案 , 提 醒 广 大 用 户 注 意 采 取 安 全 防 护 措 施 , 尽 快 下 载 相

关 补 丁 程 序 。

注 :CNVD 是 CNCERT 联 合 国 内 重 要 信 息 系 统 用 户 、 安 全 厂 商 、 软 件 厂 商 、 互 联 网 企 业 等 共 同 建 立 的

国 家 信 息 安 全 漏 洞 共 享 平 台 , 旨 在 国 内 建 立 统 一 收 集 、 发 布 、 验 证 、 分 析 等 信 息 安 全 漏 洞 应 急 处 理 体 系 。

二 、 业 界 新 闻 速 递

政 府 监 管 和 政 策 法 规 动 态

1、 工 信 部 发 布 《 关 于 进 一 步 落 实 网 站 备 案 信 息 真 实 性 核 验 工 作 方 案 ( 试 行 )》

新 华 网 :2 月 8 日 , 工 业 和 信 息 化 部 下 发 《 关 于 进 一 步 落 实 网 站 备 案 信 息 真 实 性 核 验

工 作 方 案 ( 试 行 )》。 该 方 案 对 核 验 内 容 , 网 站 备 案 信 息 真 实 性 核 验 、 审 核 工 作 流 程 做 出 了 明

确 规 定 , 指 出 单 位 和 个 人 均 可 以 作 为 网 站 主 办 者 。 方 案 要 求 各 接 入 服 务 单 位 应 在 2010 年 2

月 底 前 设 立 现 场 核 验 网 站 备 案 信 息 部 门 ,3 月 底 前 正 式 实 施 网 站 备 案 信 息 当 面 核 验 ,9 月 底

前 完 成 全 部 网 站 的 备 案 信 息 真 实 性 核 验 。

2、 公 安 机 关 将 加 大 力 度 打 击 整 治 网 络 赌 博

新 华 网 消 息 : 为 严 厉 打 击 网 络 赌 博 , 公 安 部 、 中 央 宣 传 部 等 8 部 门 从 2010 年 2 月 至 8

月 在 全 国 组 织 开 展 集 中 整 治 网 络 赌 博 违 法 犯 罪 活 动 专 项 行 动 。 截 至 2 月 20 日 , 各 地 公 安 机

关 已 侦 破 网 络 赌 博 刑 事 案 件 210 起 、 抓 获 918 人 , 侦 破 行 政 案 件 122 起 、 查 处 351 人 。 中

国 公 安 部 网 络 安 全 保 卫 局 副 局 长 顾 坚 称 , 当 前 中 国 网 络 赌 博 主 要 存 在 四 个 特 点 :1) 蔓 延 迅

速 、 涉 及 面 广 ;2) 境 外 操 控 、 境 内 渗 透 ;3) 赌 资 巨 大 、 危 害 严 重 ;4) 与 其 他 犯 罪 相 互 交 织 ,

滋 生 诱 发 大 量 的 违 法 犯 罪 。 公 安 机 关 将 加 大 力 度 , 对 网 络 赌 博 进 行 坚 决 的 打 击 整 治 。

网 络 安 全 事 件 与 威 胁

3、 拉 脱 维 亚 黑 客 集 团 盗 取 750 万 份 国 家 机 密 文 件

国 际 在 线 消 息 : 据 英 国 《 泰 晤 士 报 》2 月 26 日 报 道 , 拉 脱 维 亚 一 个 自 称 “ 第 四 觉 醒 人

民 军 ”( People’s Army of the Fourth Awakening) 的 黑 客 组 织 利 用 国 家 税 务 局 网 站 的 安 全 漏 洞

盗 取 了 750 万 份 国 家 机 密 文 件 , 主 要 涉 及 拉 脱 维 亚 国 家 的 税 收 资 料 。 他 们 曝 光 了 一 些 国 家

官 员 的 详 细 收 入 记 录 , 并 威 胁 曝 光 更 多 高 官 的 薪 水 。 此 举 在 拉 脱 维 亚 引 发 政 治 恐 慌 。

5


业 界 动 态

4、IBM 发 布 2009 年 《X-Force 趋 势 和 风 险 报 告 》

赛 迪 网 消 息 : 据 国 外 媒 体 报 道 ,IBM 发 布 2009 年 度 《X-Force 趋 势 和 风 险 报 告 》。 该

报 告 显 示 ,2009 年 软 件 漏 洞 的 数 量 整 体 上 较 2008 年 有 所 下 降 , 文 件 阅 读 器 及 多 媒 体 应 用

程 序 的 故 障 数 量 较 2008 年 增 长 50%。 受 高 危 漏 洞 影 响 的 厂 商 中 , 微 软 、Adobe、 火 狐 和 苹

果 位 居 前 列 。

5、 美 法 院 批 准 微 软 请 求 , 关 闭 277 个 恶 意 网 站

赛 迪 网 消 息 : 据 《 华 尔 街 日 报 》 报 道 , 美 国 弗 吉 尼 亚 州 亚 历 山 大 市 法 院 已 批 准 微 软 2

月 22 日 提 出 关 闭 277 个 互 联 网 域 名 的 请 求 , 要 求 互 联 网 安 全 和 域 名 服 务 提 供 商 VeriSign 临

时 关 闭 这 些 可 疑 的 互 联 网 地 址 。 微 软 称 , 这 些 互 联 网 域 名 与 一 个 名 为 Waledac 的 僵 尸 网 络

有 关 。

6


关 于 国 家 互 联 网 应 急 中 心 (CNCERT)

国 家 互 联 网 应 急 中 心 的 全 称 是 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 ( 英 文 简 称 是

CNCERT 或 CNCERT/CC) 成 立 于 1999 年 9 月 , 是 工 业 和 信 息 化 部 领 导 下 的 国 家 级 网 络 安

全 应 急 机 构 , 致 力 于 建 设 国 家 级 的 网 络 安 全 监 测 中 心 、 预 警 中 心 和 应 急 中 心 , 以 支 撑 政 府

主 管 部 门 履 行 网 络 安 全 相 关 的 社 会 管 理 和 公 共 服 务 职 能 , 支 持 基 础 信 息 网 络 的 安 全 防 护 和

安 全 运 行 , 支 援 重 要 信 息 系 统 的 网 络 安 全 监 测 、 预 警 和 处 置 ; 国 家 互 联 网 应 急 中 心 在 我 国

大 陆 31 个 省 、 自 治 区 、 直 辖 市 设 有 分 中 心 。

联 系 我 们

如 果 您 对 CNCERT《 网 络 安 全 信 息 与 动 态 周 报 》 有 何 意 见 或 建 议 , 欢 迎 与 我 们 的 编 辑

交 流 。

本 期 编 辑 : 王 营 康

网 址 :www.cert.org.cn

Email:cncert_report@cert.org.cn

电 话 :010-82990125

7

More magazines by this user
Similar magazines