网络安全信息与动态周报-2012年第52期 - 国家互联网应急中心

国家互联网应急中心网络安全信息与动态周报2012 年第 52 期12 月 17 日 -12 月 23 日一、本周网络安全基本态势优良中差危1本周互联网网络安全指数整体评价为中。境内感染网络病毒的主机数约为 139.1 万个 ,较上周环比增加了 6.2%; 无新增网络病毒家族 ; 境内被篡改政府网站数量为 456 个 , 较上周环比减少了 5%; 境内被植入后门的政府网站数量为 83 个 , 较上周环比大幅增加了 84.4%;针对境内网站的仿冒页面数量为 1177 个 , 较上周环比减少了 24.1%; 新增信息安全漏洞 136个 , 较上周环比减少了 1.4%, 其中新增高危漏洞 35 个 , 较上周环比减少了 18 个。本周网络病毒活动情况1、网络病毒监测情况本周境内感染网络病毒的主机数约为 139.1 万个 , 较上周环比增加了 6.2%。其中 , 境内被木马或被僵尸程序控制的主机约为 32.8 万个 , 较上周环比大幅上升了 44.8%; 境内感染飞客 (conficker) 蠕虫的主机约为 106.3 万个 , 较上周环比减少了 1.9%。木马或僵尸程序受控主机在我国大陆的分布情况如下图所示 , 其中红色区域是木马和僵尸程序感染量最多的地区 , 排名前三位的分别是广东省约 6 万个 ( 约占中国大陆总感染量的 18.2%)、江苏省约 3.9 万个 ( 约占中国大陆总感染量的 11.9%) 和湖南省 2 万个 ( 约占中国大陆总感染量的 6.2%)。注 1: 一般情况下 , 恶意代码是指在未经授权的情况下 , 在信息系统中安装、执行以达到不正当目的的程序。其中 , 网络病毒是特指有网络通信行为的恶意代码。1

2、TOP5 活跃网络病毒本周 , 中国反网络病毒联盟 (ANVA) 2 3整理发布的活跃网络病毒如下表所示。其中 ,利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高 , 病毒仍多以利用系统漏洞的方式对系统进行攻击。ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固 , 安装具有主动防御功能的安全软件 , 开启各项监控 , 并及时更新 ; 另一方面 , 建议互联网用户使用正版的操作系统和应用软件 , 不要轻易打开网络上来源不明的图片、音乐、视频等文件 ,不要下载和安装一些来历不明的软件 , 特别是一些所谓的外挂程序。名称Trojan.Script.VBS.Dole.gHack.Exploit.Script.JS.Bucode.i特点该恶意脚本病毒通过文档捆绑的方式传播 , 会释放脚本 , 感染Normal.dot 模块文件。该溢出脚本病毒通过网页挂马的方式传播 , 会指向病毒网站下载其他病毒。Trojan.Script.VBS.Dole.a 该木马病毒通过捆绑下载的方式传播 , 会释放 CAD 病毒脚本文件。注 2: 中国反网络病毒联盟 (Anti Network-Virus Alliance of China, 缩写 ANVA) 是由中国互联网协会网络与信息安全工作委员会发起、CNCERT 具体组织运作的行业联盟。反网络病毒联盟依托 CNCERT 的技术和资源优势 , 通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作 , 并面向社会提供信息咨询、技术支持等服务 , 以净化公共互联网网络环境 , 提升互联网网络安全水平。注 3: 根据瑞星、金山、奇虎 360、江民等企业报送的网络病毒信息整理。2

Hack.Exploit.Script.JS.Iframe.acTrojan.Win32.FakeIME.d该溢出脚本病毒通过网页挂马的方式传播 , 会指向病毒网站下载其他病毒。该广告病毒通过捆绑下载的方式传播 , 其恶意程序安装包会在桌面上建立该病毒传播网站的假 ie 快捷方式 , 并且通过修改注册表 , 让该假 ie 快捷方式不容易删除 , 不经用户同意释放网址到 ie 收藏夹目录中。3、网络病毒捕获和传播情况本周 ,CNCERT 捕获了大量新增网络病毒文件 4 5, 其中按网络病毒名称统计新增 1196个 , 较上周环比增加了 5.3%; 按网络病毒家族统计无新增。网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后 , 会经过多级跳转暗中连接黑客最终 “ 放马 ” 的站点下载网络病毒。本周 ,CNCERT 监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 分别如下两表所示。排序活跃放马站点域名排序活跃放马站点 IP1 download.cpudln.com 1 220.181.19.752 msn.liukejun.com 2 60.190.218.1673 update.wblove.com 3 60.190.218.1364 hi.liukejun.com 4 122.224.9.355 qq.liukejun.com 5 122.224.8.1096 sina.liukejun.com 6 121.10.105.297 jj111.r8hukojj1200yi.info 7 198.136.30.2358 www.tssgdam.com 8 122.228.244.2439 www.kuaizip.com 9 58.221.45.2310 ss.htrb.info 10 60.18.168.62网络病毒在传播过程中 , 往往需要利用黑客注册的大量域名。本周 ,CNCERT 监测发现的放马站点中 , 通过域名访问的共涉及有 400 个 , 通过 IP 直接访问的共涉及 175 个。在400 个放马站点域名中 , 于境内注册的域名数为 95 个 ( 约占 23.8%), 于境外注册的域名数为 266 个 ( 约占 66.5%), 未知注册商所属境内外信息的有 39 个 ( 约占 9.8%)。下图为这些放马站点域名按所属顶级域的分布情况 , 排名前三位的是 .com( 约占 51%)、 .cn( 约占12.8%)、 .info( 约占 10.8%)。注 4: 网络病毒文件是网络病毒的载体 , 包括可执行文件、动态链接库文件等 , 每个文件都可以用哈希值唯一标识。注 5: 网络病毒名称是通过网络病毒行为、源代码编译关系等方法确定的具有相同功能的网络病毒命名 , 完整的命名一般包括 : 分类、家族名和变种号。一般而言 , 大量不同的网络病毒文件会对应同一个网络病毒名称。注 6: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称 , 每个网络病毒家族一般包含多个变种号区分的网络病毒名称。3

此外 , 通信行业互联网信息通报成员单位向 CNCERT 共报送了 68 个恶意域名或 IP( 去重后 ), 各单位报送数量统计如下图所示。针对 CNCERT 自主监测发现以及各单位报送数据 ,CNCERT 积极协调域名注册机构等进行处置 ( 参见本周事件处理情况部分 ), 同时通过 ANVA 在其官方网站上发布恶意地址黑名单 ( 详细黑名单请参见 :http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92)。请各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址黑名单的 URL, 并及时修补漏洞 , 加强网站的安全防护水平 , 不要无意中成为传播网络病毒的 “ 帮凶 ”。4

7本周网站安全情况根据 CNCERT 监测数据 , 本周境内被篡改网站数量为 5463 个 , 较上周环比下降了 3%。境内被篡改网站数量按类型分布情况如下图所示 , 数量最多的仍是 COM 类网站。其中 ,GOV 类网站有 456 个 ( 约占境内 8.3%), 较上周环比减少了 5%。本周监测发现境内被植入后门的网站数量为 6418 8 个 , 较上周环比大幅增加了 4 倍 , 按类型分布情况如下图所示。其中 ,GOV 类网站有 83 个 ( 约占境内 1.29%), 较上周环比大幅上升了 84.4%。注 7:CNCERT 根据网站的域名对其进行分类 , 其中 COM 代表商业机构、GOV 代表政府部门、NET 代表网络组织、ORG 代表非盈利组织、EDU 代表教育机构、BIZ 代表商业等。我国境内政府网站是指英文域名以 “.gov.cn”结尾的网站 , 但不排除个别非政府部门也使用 “.gov.cn” 的情况。表格中仅列出了被篡改网站或被挂马网站的域名 , 而非具体被篡改或被挂马的页面 URL。注 8: 本周 CNCERT 更新了网站后门监测特征。5

根据通信行业各互联网信息通报成员单位报送数据 , 本周共发现境内被挂马网站数量为 162 个 ( 去重后 ), 较上周环比减少了 2.4%。其中 ,GOV 类网站有 25 个 ( 约占境内 15.4%),较上周环比减少了 7.4%。各单位报送数量如下图所示。截至 12 月 24 日 12 时 , 仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏、色情网站链接 ) 的政府网站如下表所示。被挂马或被植入不正当广告链接的网站www.simz.gov.cnwww.whkf.gov.cn所属地区上海市河北省6

此外 , 网站面临的另一类安全威胁是网页仿冒 , 即黑客通过构造和散播与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 诱骗用户访问 , 以获取用户个人秘密信息 ( 如银行账号和账户密码 )。本周 CNCERT 监测发现针对境内网站的仿冒页面数量为 1177 个 , 较上周环比减少了 24.1%。其中 , 仿冒页面涉及域名 702 个 ,IP 地址 340 个 , 平均每个 IP 地址约承载了约 3 个仿冒页面。本周事件处理情况1、本周处理各类事件数量对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件 , 以及自主监测发现的网络安全事件 ,CNCERT 根据事件的影响范围和存活性、涉及用户的性质等因素 ,筛选重要事件进行协调处理。本周 ,CNCERT 通过与基础电信运营商、域名注册服务机构的合作机制 , 以及反网络病毒联盟 (ANVA) 的工作机制 , 共协调处理了 177 起网络安全事件。2、本周恶意域名和恶意服务器处理情况依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定 , 本周 ANVA 在中国电信等基础电信运营企业以及 35 互联、爱名网、花生壳、江苏邦宁、上海有孚、万网、西维数码、希网、新网互联、新网数码等域名注册服务机构的配合和支持下 , 并通过与境外域名注册商和国际安全组织的协作机制 , 对 147 个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机 IP 采取了处置措施。详细列表如下所示。9处置原因处置域名列表处置服务器列表传播恶意代码仿冒农业银行dnsmicro.comconsignment.5173.detillem.com、www.shipin55888.com、bisiom.ybtlbbshop.com、iaawangou.com、www.mbm33.com、a8911az.tk、www.87788pt.info、kuaifupayt.fuhaienterprise.com、tshoxa.chickenkiller.com、teu8hht6.info、iullbacvzxc.lflink.com、www.hkidt.info、ibsbjstar.ccb.com.cn-ccb.asddsjahuub.nut.cc、yinhangzhifuejejejke.flu.cc、www.adsdfz.tk、www.zgbnsd.flu.cc、www.viorga.flu.cc、www.kuaijie999pt.info、itme.taobo.sjanxn.usa.cc、lxel.info、www.mgdhy.flu.cc、bac.shrp67346457.info、mcxq.info、csfhy.flu.cc、htcsi5d8.info、www.letao998.info、tu6es2co.info、wwwbbb521.flu.cc、www.ytgnak.flu.cc、vip521111.flu.cc、199.114.247.*、199.114.247.*注 9:CNCERT 不公开服务器的具体 IP, 其中 * 代表数字 0-255, 可能会出现同一 C 段的多个 IP 使用相同的表示方式。7

仿冒央视仿冒浙江卫视仿冒中国银行仿冒工商银行仿冒淘宝网仿冒腾讯仿冒湖南卫视仿冒其他网站www.iiwangou.com、wmnxczjhhvcd.5166.info、wang.indug1eg.com、ba.indug1eg.com、qwmnzxbsadbfds.imshop.in、wmnczhsjdn.uicp.cn、abc.ijsgn7egel.com、iiofcts.yuanbaoshop.com、www.sslkka.tk、www.senle158pt.info、cxkkq.info、www.zkajaz.tk、www.kvk33.info、zhadf.bjstar.ccb.com.cn-ccb.ccoaisodwjqa.nut.cc、jbtnp.info、jinyu168.com.fyfu.info、www.tianhao518pt.info、gtea.info、bac.shcp6685544.info、www.poinwr.flu.cc、www.kvk33.comz85-wan11.usa.cc、3-a.net、25u.com、368tv.net、zcwjme6.com、cwkkw.com、zhitcctv.com、cntv516.com、ztcw22.com、cwjmth8.com、ccn3t.com、z94-wan11.usa.cc、chunw4.com、cctv3wnv.com、ccfm68.com、ztcw25.com、ttchun3.com、ztcw65.com、ztcw35.com、cwoiu.com、cctv6079.com、cctv3cwe.com、chun1200.com、ttpv89.com、ccntvz3.com、dtj3ye.com、cctvlxg.comhsyfcu.com、cztvshcv.com、zjtcp.com、zhongguohaoshengyinp.com、haoshenycztvqq.com、reyyt.com、hsyqq-tv.com、hsy152.com、voicxx.com、gwkkyy.com、hsyttt.com、kehy8811.com、zjhsytt.com、asddyou.com、hsy257.com、zjp3.com、hsyinql8.com、hay13.com、hsy252.com、ctksh.com、voiovi.com、voiow.com、hsyhscd.com、zjctsk.com、kcu66.comdyj6988.com、banbanlailai.f3322.org、wwwbbb521.flu.cc、itme.taobo.sjanxn.usa.cc、www.skhaa99.tk、www.goolkre.flu.cc、tshoxa.chickenkiller.com、www.zgbnsd.flu.cc、www.llbbc.net、www.bcobk.com、zboucc.com、ocboc.com、dzooc.com、boovr.com、xxxxzzzxxxz.v27.4a22c3.323.68cc.net、www.boccnv.com、bocnss.com、www.knbco.com、lsk9911.tk、pdmn.info、www.988553.comwww.183111ems.com、www.shipin5888.com、ywnvt.flu.cc、spp-gov.org、wwwbbb521.flu.cc、www.adsdfz.tk、kkjufha.usa.cc、www.166danbaojiaoyi.com、www.aise58.info、kuaifupayt.fuhaienterprise.com、www.hongxtz.com、htcsi5d8.info、www.aszzzq1.tk、dylz.igg.biztaobao9uu.com、vp-taobao.net89hhpp.comhunanfn3.comgstszx.cn、serverkakunin.com本周重要安全漏洞8

本周 , 国家信息安全漏洞共享平台 (CNVD) 10 整理和发布以下重要安全漏洞 , 详细的漏洞信息请参见 CNVD 漏洞周报 (http://www.cnvd.org.cn/publish/main/47/index.html )。1、Adobe 产品安全漏洞Adobe Flash Player 是一款 Flash 文件处理程序 ;Adobe Shockwave Player 是一款用于播放使用 Director Shockwave Studio 制作的网页的软件。本周 , 上述 Adobe 产品被披露存在多个安全漏洞 , 攻击者利用漏洞可使应用程序崩溃 , 执行任意代码。CNVD 收录的相关漏洞包括 :Adobe Shockwave Player 'Xtra' 远程代码执行漏洞、AdobeShockwave Player 远程代码执行漏洞、Adobe Shockwave Player ActiveX 控件安全等级下降漏洞、Adobe Flash Player 内存破坏拒绝服务漏洞。厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。2、IBM 产品安全漏洞IBM Rational ClearQuest 是一款软件变更、追踪管理解决方案 ;IBM Lotus Notes 服务器是一款基于 WEB 协同工作的应用程序架构 ;IBM Intelligent Operations Center 是一款智能运行中心软件 ;IBM InfoSphere Information Server 是一款数据集成软件平台 ;IBM TivoliStorage Manager 是一款遵循 ANSI SAN 标准的可扩展解决方案 , 用于发现、监控和管理企业 SAN 架构组件 , 并可分配和自动操纵企业的附加磁盘存储资源。本周 , 上述 IBM 产品被披露存在多个安全漏洞 , 攻击者利用漏洞可绕过安全限制 , 获得服务器或数据库敏感信息。CNVD 收录的相关漏洞包括 :IBM Tivoli Storage Manager for Space Management 本地未授权访问漏洞、IBM Tivoli Storage Manager for Space Management 远程未授权访问漏洞、IBMIntelligent Operations Center HTML 注入漏洞、IBM InfoSphere Information Server InfoCenter组件安全绕过漏洞、IBM InfoSphere Information Server Java 组件安全绕过漏洞、IBMInfoSphere Information Server Web 控制台组件安全绕过漏洞、IBM Lotus Notes Web 应用跨站脚本漏洞、IBM Rational ClearQuest SQL 错误消息攻击漏洞等。其中 ,“IBM Tivoli StorageManager for Space Management 本地未授权访问漏洞 ” 的综合评级为 “ 高危 ”。目前 , 厂商已发布了上述漏洞修补程序。CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相关的网络安全事件。3、Drupal 模块安全漏洞Drupal 是一款基于 PHP 的内容管理系统。本周 , 该产品的多个模块被披露存在多个安全漏洞 , 攻击者利用漏洞可提交特殊请求绕过安全限制获得对未授权内容的访问。注 10:CNVD 是 CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库 , 致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。9

CNVD 收录的相关漏洞包括 :Drupal Core 任意 PHP 代码执行漏洞、Drupal Context 模块信息泄露漏洞、Drupal Core 访问绕过漏洞 (CNVD-2012-16949)、 Drupal Core 访问绕过信息泄露漏洞、Drupal CAPTCHA 模块访问绕过漏洞、Drupal Apache Solr Autocomplete 模块跨站脚本漏洞。其中 ,“Drupal Core 任意 PHP 代码执行漏洞 ” 的综合评级为 “ 高危 ”。目前 , 厂商已发布了上述漏洞修补程序。CNVD 提醒相关用户尽快下载补丁更新 , 避免引发漏洞相关的网络安全事件。4、WordPress 插件安全漏洞WordPress 是一款基于 PHP 的内容管理系统。本周 , 该产品的多个插件被披露存在多个安全漏洞 , 攻击者利用漏洞可获得敏感信息 , 上传任意文件 , 执行任意代码。CNVD 收录的相关漏洞包括 :WordPress 插件 PDW File Browser 'upload.php' 任意文件上传漏洞、WordPress 插件 Hungred Post Thumbnail 'hpt_file_upload.php' 任意文件上传漏洞、WordPress 多个 CMSMasters 主题 'upload.php' 任意文件上传漏洞、WordPress 插件 TimThumb跨站脚本漏洞、WordPress 插件 TimThumb 存在多个安全绕过漏洞、WordPress 插件TimThumb 任意文件上传漏洞、WordPress 插件 TimThumb 信息泄露漏洞、WordPress 插件TimThumb 拒绝服务漏洞等。其中 ,“WordPress 插件 PDW File Browser 'upload.php' 任意文件上传漏洞 ” 和 “WordPress 插件 Hungred Post Thumbnail 'hpt_file_upload.php' 任意文件上传漏洞 ” 的综合评级均为 “ 高危 ”, 厂商尚未发布了上述漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页以获取最新版本。5、Kiwi Syslog Web Access SQL 注入漏洞Kiwi Syslog 是一款用于集中管理的日志服务器。本周 , 该产品被披露存在一个综合评级为 “ 高危 ” 的 SQL 注入漏洞。由于 Kiwi Syslog Web Access 多个脚本未能正确处理_TSM_HiddenField_ 和 TSM_CombinedScripts_ 参数数据 , 攻击者利用漏洞可获得敏感数据库信息或控制应用系统。目前 , 互联网上已经出现了针对该漏洞的攻击代码 , 厂商尚未发布该漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页以获取最新版本。更多高危漏洞见下表所示 , 详细信息可根据 CNVD 编号 , 在 CNVD 官网(www.cnvd.org.cn) 进行查询。CNVD 编号漏洞名称综合评级修复方式Carlo Gavazzi EOS-BoxCNVD-2012-16947Carlo Gavazzi EOS-BOX SQL注入漏洞高1.0.0.1080_2.1.10 已经修复此漏洞 , 建议用户下载使用 :http://www.carlogavazzi.comCNVD-2012-16960MyBB Profile Xbox Live IDPlugin 'xli' 注入漏洞高暂无10

LemonLDAP-NG 1.2.3 已经修复此漏洞 ,CNVD-2012-16955LemonLDAP::NG SAML XML签名封装安全漏洞高建议用户下载使用 :http://jira.ow2.org/secure/attachment/11153/lemonldap-ng-saml-signature-verification.patch用户可参考如下厂商提供补丁修复此漏CNVD-2012-16928GIMP XWD 文件处理缓冲区溢出漏洞高洞 :http://git.gnome.org/browse/gimp/commit/?id=2873262fccba12af144ed96ed91be144d92ff2e1CNVD-2012-16937Schoolhos CMS 'index.php' 脚本 SQL 注入漏洞高暂无CNVD-2012-16908Real Networks RealPlayerRealAudio 非法指针漏洞高Real Networks RealPlayer 16.0.0.282 已经修复此漏洞 , 建议用户下载使用 :http://service.real.comCNVD-2012-16939WHMCS 'googlecheckout.php'SQL 注入漏洞高暂无用户可参考如下供应商提供的安全公告CNVD-2012-16880TWiki shell 命令执行漏洞高获得补丁信息 :http://archives.neohapsis.com/archives/fulldisclosure/current/0157.htmlCNVD-2012-16940Joomla! Spider Calendar Lite 组件 'date' SQL 注入漏洞高暂无pegasus 2.12 已经修复此漏洞 , 建议用户CNVD-2012-16873'tog-pegasus' 哈希碰撞拒绝服务漏洞高下载使用 :http://bugzilla.openpegasus.org/show_bug.cgi?id=9374小结 : 本周 ,Adobe 和 IBM 的多款产品被披露存在多个漏洞 , 攻击者利用漏洞可获得敏感信息或执行任意代码。Drupal、WordPress 内容管理系统软件被披露存在多个漏洞 , 攻击者利用漏洞进一步发起篡改、后门攻击 , 或窃取用户敏感信息。本周 ,Kiwi Syslog 日志服务器被披露存在零日漏洞 , 建议采用相关软件的用户随时关注厂商主页 , 及时获取修复补丁或解决方案。二、业界新闻速递网络安全事件与威胁1、 “ 末日 ” 病毒来袭不明文件慎点新民网 12 月 21 日消息近日 , 国内安全厂商截获了大量病毒 , 都是以 “2012 世界末日 ”相关话题为诱饵 , 来吸引用户点击下载 , 以达到入侵用户电脑 , 盗取用户隐私、骗取用户11

钱财等目的。据安全专家介绍 , 此次截获的 “ 末日 ” 病毒数量多达十余种 , 且形式多样 , 囊括了木马、蠕虫、后门和感染型病毒等多种类型。以名为 “ 世界末日真想 .exe” 的病毒为例 ,该病毒伪装成 exe 格式的电子书 , 诱骗用户点击 , 当用户打开后 , 就会将电脑内的安全防护系统全部关闭 , 并从 3 个不同的恶意网址下载 3 种不同的病毒到电脑中。随后 , 病毒还会主动连接黑客指定的地址 , 一旦连接完毕 , 黑客就可以随心所欲地控制用户电脑 , 不仅可以访问 / 删除任何文件 , 还可以远程控制鼠标、键盘、摄像头等电脑设备 , 查看电脑内的视频 / 图像信息 , 使用户的隐私信息暴露无遗。安全专家提醒广大用户不要因为一时的好奇心理 , 随意点击、下载或者接收不明来源的任何 exe 文件 , 以防带毒文件侵害用户的电脑及其相关设备 , 导致隐私泄密。同时要定期更换 QQ 密码及银行卡密码 , 定期查看电脑内有无新增或删除不明文件的现象 , 并使用专业的杀毒软件定期查杀病毒。2、三星手机被曝存安全漏洞黑客可读写用户信息中国网 12 月 21 日消息据悉 , 国外智能手机论坛 XDA-Developers 上的一位会员日前表示 , 搭载了三星 Exynos4SoC 构架处理器和使用三星内核源的智能手机 , 存在一个 Root权限漏洞。利用该漏洞 , 黑客可入侵手机 , 获取系统最高权限 , 并可远程控制手机 , 更改、盗取用户隐私等。据称 , 涉及到的手机产品包括三星 GalaxyS3/S2、Note/Note2/Note10.1 系列、魅族 MX/MX2 系列等。不过 , 该人士未举出因为此漏洞而造成用户损失的实际案例。国内各安全厂商纷纷表示将通过更新解决这一问题 , 用户不必太过担心。对于手机安全漏洞问题 , 三星电子中国公司 12 月 19 日表示 , 三星已经快速启动了针对此事的调查。3、美国 Android 设备发现新型僵尸网络网易 12 月 19 日消息据 TheNextWeb 报道 , 近日 , 美国主要网络又出现了新型的 Android欺诈僵尸网络。一旦用户的设备感染上这种恶意软件 , 它就会不经用户许可将上千条欺诈短信发送到用户的设备中。据悉 , 这种被称为 SpamSoldier 的恶意软件由 Lookout Security于美国当地时间 12 月 3 日发现。据 Lookout Security 介绍 , 这种恶意软件一旦成功感染手机 , 就会每天向用户设备发送成千上万条携带热门游戏免费下载的广告 , 比如说《太空板愤怒的小鸟》。一旦用户点击恶意短信里的链接 , 手机就会开始下载这个软件。当下载完毕后 ,SpamSoilder 就会移除这款应用的图标 , 转而安装一款有问题的免费版游戏 , 然后又开始发送新的欺诈信息。Lookout Security 指出 , 目前这种恶意软件还没有广泛传播开来 , 不过美国的几个主要运营商都已经发现这款恶意软件的身影。4、黑客上传信息警告用户 Verizon 存严重安全漏洞国际在线 12 月 23 日消息近日 , 一位黑客宣称他已经从 Verizon 数据库窃取了旗下用户的信息 , 并且已经将部分放在了一个代码分享网站上。据悉 , 该名黑客是在 Twitter 上宣布了这一消息的 , 其在上面的名字为 @TibiXimer。他宣称 , 自己是在今年的 7 月获取了Verizon 的 root。Tibit 表示 , 他窃取的用户信息包括了他们的账号密码、名字以及家庭住址12

等。另外 , 他还指出目前他本人也无法给出对被窃取用户的具体数字 , 只能推断至少有 300多万的用户信息被上传到了网上。另外 ,Tibit 指出了因为此前 Verizon 对他的信息窃取行为予以了忽视 , 所以他选择在代码分享网站 Pastebin 上上传了部分的用户资料 , 以此来警告该运营商其系统存在的安全漏洞问题。5、黑客声称控制了部分雅虎服务器MSN 中国 12 月 17 日消息一名自称 ViruS_HimA 的埃及黑客声称已经攻破了雅虎的安全系统 , 对雅虎公司的服务器实现了攻击。据称 , 他已完全掌握雅虎至少两个域名所在的访问服务器权限。上周六 ,ViruS_HimA 通过 pastebin 和 AnonPaste 向雅虎发布了三个警告。第一个警告称 , 由于雅虎的安全问题 , 他已经获得了雅虎一个子域名所在的服务器的完全访问权限 , 并获得了该域名下全部文件的备份内容。第二个警告称 , 由于获得了服务器上的完全访问权限 , 他又不费吹灰之力地进入了雅虎内部 12 个数据库。第三个警告称 ,他发现雅虎存在反射跨站脚本 (XSS) 漏洞。据此 ,ViruS_HimA 有可能获得大量的用户数据 ,其中大部分数据可能是非常敏感的。ViruS_HimA 承诺 , 他将永远不会共享、出售和发布相关用户数据。业界动态6、微软发博客帮助 Win8 应用开发者避免黑客攻击新浪科技 12 月 21 日消息微软近日在 Win8 应用开发者博客中发表了一篇应用开发者如何使程序免受黑客攻击的文章 , 旨在帮助开发者更好地保护自己的开发成果。文章中建议开发者使用最新的 Visual Studio 2012 来编写程序 , 并表示最好在将软件上传至 WindowsStore 之前删除一些不必要的功能 , 比如 “ 家庭和工作网络 ” 访问功能 , 以此来减少遭受攻击的几率。最后 , 微软还建议开发者注意程序在远程服务器访问、日志文件、HTTPS 身份验证以及访问不受信任的远程数据时的安全防护。关于国家互联网应急中心 (CNCERT)国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称是CNCERT 或 CNCERT/CC) 成立于 1999 年 9 月 , 是工业和信息化部领导下的国家级网络安全应急机构 , 致力于建设国家级的网络安全监测中心、预警中心和应急中心 , 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能 , 支持基础信息网络的安全防护和安全运行 , 支援重要信息系统的网络安全监测、预警和处置。国家互联网应急中心在我国大陆 31 个省、自治区、直辖市设有分中心。13

联系我们如果您对 CNCERT《网络安全信息与动态周报》有何意见或建议 , 欢迎与我们的编辑交流。本期编辑 : 徐娜网址 :www.cert.org.cnemail:cncert_report@cert.org.cn电话 :010-8299031614

网络安全信息与动态周报-2012年第52期 - 国家互联网应急中心

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?