网络安全信息与动态周报 2010年12 期

网络安全信息与动态周报  2010年12 期

1 .LnknjC  
一、本周网络安全基本态势（3月22日-3月28日） <9:~u]ixt  
本周互联网网络安全态势整体评价为中。我国互联网基础设施运行平稳，全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为9646个，与前一周环比增长7%；境内被僵尸网络控制的主机IP地址数目为1.0万个，环比下降14%；境内被篡改政府网站数量为68个，环比下降38%。 6hcK%0z  
本周重点网络安全事件 ,&fZo9J9  
本周CNCERT监测发现，境内被篡改网站数量较上周有所下降。截至3月29日12时仍未恢复的被篡改的部分地市级以上（含地市级）政府部门网站如下表所示。 8TU(5:xJo  
被篡改页面URL ^j10 f$B  
所属部门或地区
~v:IgS  
级别 N 6\Ey{  
http://jssalt.gov.cn/default.asp a< E9@  
江苏省 vM$hCV ~N  
省部级 u86@zlzd  
http://zrq.sh1111.gov.cn/index.htm |B'4wF>  
上海市 _%\%  
省部级 + 660/ e8N  
http://aqzw.gov.cn/default.asp !#*#jixo  
安徽省安庆市 &N+`O)$  
地市级 nII#uI /!q  
http://fgw.ahhfly.gov.cn/hex.htm ,w9| ?%S  
安徽省合肥市 Aho*E9VW  
地市级 /eXiWasQ  
http://bbs.pingliang.gov.cn/index.htm D`'Cnt/  
甘肃省平凉市 2i !\H$u`  
地市级 6X?:mn'%QF  
http://www.czccpit.gov.cn \ Y8 sIs  
广东省潮州市 ;volBfv  
地市级 G!G:YVWXP  
http://www.tj.lg.gov.cn/default.asp 9k6/D.Dz  
广东省深圳市龙岗区 jAv3qMQA  
地市级 #a2Z.a<V  
http://zyzy.gov.cn/hex.htm ]\oT({$6B  
贵州省遵义市 +{m+aHk  
地市级 x*=m'IM[  
http://www.hehs.lm.gov.cn/index.htm R$ A%Zh6  
河北省衡水市 (!J;
g|58  
地市级 (NDC9Lls  
http://www.tangshanmsa.gov.cn/images/hxt.htm a~Ld cUYs  
河北省京唐港 #Ufb  
地市级 $ <C",&  
http://www.xxyr.gov.cn/neo.txt Li0+%ijM  
河南省新乡市 72J=_d>+  
地市级 JKO*bbj  
http://al.xgqts.gov.cn/index.htm &(l.jgqg&  
湖北省安陆市 PApr8Xe  
地市级 ^,vFxN--q  
http://hglt.hgjy.gov.cn/index.htm &2[Xu4*  
湖北省黄冈市 2_o\Wor#  
地市级 92.Rjz;=9?  
http://jjd.xxz.gov.cn/index.htm nN@ Ch  
湖南省湘西自治州 Mqk|H~l5c  
地市级 jq8TfJ|   
http://www.zzslj.gov.cn/index.htm ;;XY&J
 
湖南省株洲市 ?p 4iXHE  
地市级 gW4fwE^  
http://ntport.gov.cn/hex.htm k\*?
<g  
江苏省南通市 |22vNt_  
地市级 re#]zc<  
http://zj.jssalt.gov.cn/default.asp k$8Zg*)  
江苏省镇江市 $]}K;  
地市级 .m>Qlh  
2010年12 期 @p^EXc*|  
2010年3月30日 h"Wpb}FT  
网络安全信息与动态周报 3vAP&i'I  
国家互联网应急中心 )\2KDXc  
良 )D'# >!Y  
中 s"w^E\ >6  
差  AW|SD  
危 '/

9MN;_  
优 @icw:68  
2 /uDcJ1u66  
被篡改页面URL \dE{[^.5  
所属部门或地区 Fn4yx~0  
级别 ya^8mp-  
http://ztb.dl.gov.cn/hex.htm Le bc @,  
辽宁省长兴岛临港工业区 #8M^;4N >[  
地市级 wmXI8'~F&  
http://www.tlgtj.gov.cn/index.htm xE!0p EHd  
辽宁省铁岭市 *kTp(*K/7`  
地市级 o]qwN:8^  
http://www.qtx.gov.cn/help.asp !^0vi3I  
宁夏自治区青铜峡市 D/4]r@M2c  
地市级 e 6>j gy  
http://dzszy.gov.cn 'X6Y!VDd  
山东省德州市 /Lm~GmPt  
地市级 eK*oV}U-k  
http://zcw.gov.cn/index.htm .j|uf[?h  
山东省邹城市 aE3eYl9u  
地市级 uW#s;1H.)  
http://hezuojiaoliu.jingan.gov.cn/index.htm |/%5~=%7  
上海市静安区 \QF0(*!!  
地市级 +s;Vfc$b]H  
http://ncfdj.gov.cn/index.htm N$C+le  
四川省南充市 a;-%C{S9r  
地市级 j)YX=r;xM  
http://www.jxgsj.gov.cn/ewebeditor/glacier.asp o:3(J}  
浙江省嘉兴市 1-PlRQs.1  
地市级 @ V5i  
本周活跃恶意域名 =h|cs{eT\2  
本周，较为活跃的恶意域名如下表所示。其中，有三组恶意域名最为活跃：1）以bij.pl为二级域名的恶意域名仍在不停变换，并且以hfu.xorg.pl作为跳转链接；2）以wwvv.us为二级域名的恶意域名大量出现，并在前缀中采用借用知名站点域名的手法，如： www.baidu.cn和 www.yahoo.cn；3）以3322.org为二级域名，前缀包含“pkings”的恶意域名大量出现。此外，“ www.d2lifeonline.com”和“ www.3gp8.info”这两个恶意域名也侵害了较多的网站和用户。 .oTS7rYw  
adq.bij.pl、adr.osa.pl、aft.bij.pl、afv.bij.pl、afx.bij.pl、afz.bij.pl、aga.bij.pl、agl.bij.pl、hfu.xorg.pl dKU :\y  
www.zhaoxiaoshuo.com.wwvv.us 、 www.baidu.cn.wwvv.us、 www.yahoo.cn.wwvv.us、 -vY5h%7kf  
w212.2.wwvv.us、w3svcjs.9966.orgwww.hao123.com.wwvv.us ;bg]H >$U7  
112pkings.3322.org、113pkings.3322.org、114pkings.3322.org、117pkings.3322.org -KfK~P3PF  
www.d2lifeonline.com &n I>`Q'  
www.3gp8.info T{m) = (q  
xiaoxiaojd.3322.org 8Lx1XbwK  
pagead07.googlesyndications.co.cc >qr/1mW  
186.my319.info pnz:<V"Y(  
hjhkk.8866.org 9% NobT  
注：根据华为、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理。 -\;0gnf{J  
本周活跃恶意代码 j|&D(]W/  
名称 HQ7g0:-^a>  
特点 r<:d+5"  
Trojan.DL.PicFrame.a yFb"
2  
这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。 |W=-/~X  
Trojan.DL.Giframe.a 1i~q~ O,  
这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。 o 7tUv"Rs  
3 j3`Ya
Ww  
注：根据瑞星、金山等企业报送的恶意代码信息整理。 S1Od&
v[R  
本周，利用操作系统及应用软件漏洞传播的恶意代码仍占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。 Sa[lYMuB  
本周重要安全漏洞 z~~pH9=c2  
本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。 [r3sk24  
1、 Microsoft Internet Explorer存在未明远程代码执行漏洞 AH/o- $C&  
Microsoft Internet Explorer是一款流行的网页浏览器，其存在一个原理未明的远程代码执行漏洞，可允许攻击者以登录用户权限执行任意指令。在Pwn2Own黑客大赛上，Peter Vreugdenhil利用自己发现的MSIE 0DAY，成功绕过ASLR和DEP的系统保护机制，以登录用户权限执行任意指令。目前微软尚未发布升级补丁，请用户随时关注厂商的主页以及时获取补丁更新信息。 4 ?PB Fbd  
2、Lexmark激光打印机存在两个安全漏洞 &S 66M 2  
Lexmark激光打印机是目前市面上流行的打印机设备。Lexmark激光打印机的内部程序存在两个安全漏洞：Lexmark激光打印机PJL处理远程栈缓冲区溢出漏洞，允许远程攻击者利用漏洞在受影响打印机上执行任意代码；Lexmark激光打印机FTP服务远程拒绝服务漏洞。 m;{HlDez  
3、Cisco IOS存在多个远程拒绝服务漏洞 IO 0n 
T  
Cisco IOS是一款流行的网际操作系统。Cisco IOS存在多个远程拒绝服务漏洞。具体漏洞包括：Cisco IOS多协议标签交换(MPLS)畸形报文拒绝服务漏洞、Cisco IOS NAT SCCP分片支持拒绝服务漏洞、Cisco IOS SIP消息远程代码执行漏洞、Cisco IOS H.323接口内存泄漏远程拒绝服务漏洞、Cisco IOS IPsec IKE畸形报文远程拒绝服务漏洞、Cisco IOS软件畸形TCP报文远程拒绝服务漏洞、Cisco IOS For Communication Manager Express SCCP拒绝服务漏洞等。 Z8Y& 
#cB  
Worm.Win32.MS08-067.c ]u$tKC  
这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，通过局域网传播。 nw`rH*  
AdWare.Win32.Fsutk.a oi,KA  
该病毒为广告程序，通过浏览器辅助对象的方式向用户推送广告。病毒以动态库文件的形式存在，通常被其他病毒捆绑传播和加载。病毒被加载后，会创建并设置注册表键值，将自身注册为BHO组件，并随着IE的启动而自动启动。当判断IE地址栏的网址包含所设字符时，会解析网页中的HTML代码，并将广告链接插入其中。 S,Q^M )$  
win32.troj.fakefoldert *C+[I  
该蠕虫主要通过介质传播。通过创建当前目录下文件夹名的EXE文件，运行后主动感染其他PE文件。 y }R2ZO  
4 [hg9 0Q6  
4、Mozilla Firefox 存在多个安全漏洞 Te?PYV-  
Mozilla Firefox是一款流行的网页浏览器。Mozilla Firefox存在多个安全漏洞，攻击者可能利用漏洞绕过安全限制，执行任意指定的程序，获取系统权限，窃取用户敏感信息。具体漏洞包括：Mozilla Firefox 'window.location'同源策略安全绕过漏洞、Mozilla Firefox 'gfxTextRun::SanitizeGlyphRuns()'远程内存破坏漏洞、Mozilla Firefox 'TraceRecorder::traverseScopeChain()'远程内存破坏漏洞、Mozilla Firefox图像预载内容策略检查安全绕过漏洞、Mozilla Firefox WOFF解码器整数溢出漏洞、Mozilla Firefox 'multipart/x-mixed-replace'图像远程内存破坏漏洞、Mozilla Firefox异步HTTP授权提示信息泄漏漏洞、Mozilla Firefox/Thunderbird/SeaMonkey跨域脚本漏洞、Mozilla Firefox缓存XUL样式表安全绕过漏洞。 v@yqTZ  
5、OSSIM存在多个安全漏洞 O{\<Izm`D  
OSSIM即开源安全信息管理是一款流行的开源安全管理系统。OSSIM存在多个安全漏洞，允许远程攻击者提交恶意请求以WEB进程权限执行任意命令。具体漏洞包括：OSSIM 'what'参数远程命令执行漏洞、OSSIM 'repository_attachment.php'任意文件上传漏洞、OSSIM 'file'参数目录遍历漏洞。 o&@y^<UQ  
小结：上述CNVD所整理的漏洞信息中IE浏览器、Firefox浏览器、Cisco IOS操作系统、打印机设备软件等均出现了严重漏洞，影响了我国网民的上网安全。目前，网上已经出现针对第1条漏洞的零日攻击代码，提醒广大用户注意采取安全防护措施。本周，除第1条漏洞信息厂商尚未提供相应的补丁程序外，其他漏洞信息均有修复方案，提醒广大用户注意采取安全防护措施，尽快下载相关补丁程序。 HDzeotD  
注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。 ^q/^.Gf  
二、业界新闻速递 |IzL4>m:;  
政府监管和政策法规动态 }b}jw.2Wu  
1、美参议院商务委员会通过《网络安全法案》 ;'V[8`Z@  
新华网消息：3月24日，美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业更好应对网络威胁的《网络安全法案》。该法案不允许总统单方面关闭美国的互联网；要求政府机构和私营部门在网络安全领域加强信息共享，在应对“网络安全紧急情况”时加强合作；并要求通过市场手段，鼓励培养网络安全人才，开发网络安全产品和服务。目前，该法案正进入参议院全院表决程序。 8?kB+}@6X  
2、美众议院通过一份禁止政府部门职员使用P2P文件共享软件的法案 4f8XO"k7t=  
中文业界资讯网消息：美国众议院近日通过了一项旨在禁止政府部门职员在办公室里或在家中远程连接到单位网络时，使用点对点文件共享软件的提案。这项提案于2009年 e@Ev']  
5 V?x&\<;,  
11月份由 Edolphus Towns众议员提出，名为《联邦文件共享安全法案》（Secure Federal File Sharing Act），法案的主要内容是号召美国行政管理和预算局（OMB）在单位的电脑和网络中屏蔽BitTorrent/Limewire等点对点软件，法案同时还要求OMB对远程办公的职员制订严格的网络使用规范。 7p':a)  
3、英国将为每个公民开设专属网页 t!J>853  
荆楚网消息：英国首相布朗定3月22日宣布，英国政府将在一年内为该国公民开设个人专属网页，在未来4年内建成无纸化社会。人们届时可以足不出户，通过互联网办理子女入学、申请护照、注册车牌、预约医生和找工作等事务。英国政府表示，这项计划将为民众省下办理手续所用的邮资和电话费，同时为政府省下开设和维护公共服务办公室的费用。整个计划未来4年将为政府节省40亿英镑。 OiZ-y7;k^  
网络安全事件与威胁  (yd(ZY  
4、入侵Twitter的黑客法国落网，奥巴马曾是其攻击目标 /@&o%I3h  
京华时报消息：3月23日，法国警方在美国联邦调查局的协助下成功抓获了曾侵入多名美国社会名流微博客网站Twitter账户的黑客。该黑客以网名“黑客克罗尔”现身互联网，通过盗取Twitter网站管理员账户密码，侵入美国政府和社会名流的账户。美国总统奥巴马和著名歌手布兰妮等人的Twitter 账户都曾是他的攻击目标。依据法国法律规定，侵入网络数据库最多可判刑2年。 s!D2s2b9e  
业界动态 r]D>p&4  
5、中美欧联手打击Waledac僵尸网络，深化网络安全合作 ~.U \Y  
中国互联网协会消息：近期，我国网络安全应急组织与美国微软公司以及欧美一些网络安全机构联手，成功打击一个名为Waledac的全球大型僵尸网络。Waledac僵尸网络所使用的控制服务器大多位于德国、荷兰、瑞典和俄罗斯等欧洲国家，控制了全球数十万台计算机，每天能发出超过15亿封的垃圾邮件。打击Waledac僵尸网络行动成功后，微软公司在第37届ICANN会议上发表演讲，感谢包括CNCERT在内的所有合作伙伴在打击Waledac僵尸网络中采取的快速及时的行动，并于3月17日向CNCERT致函以示谢意。此次中美欧业界合作对僵尸网络问题采取的大胆积极行动，对净化国际互联网环境起到十分积极的作用，保护了广大网民的利益。 ZK'WKC  
6、CNCERT组织召开网络安全术语研讨会 pMViq0  
CNCERT网站消息：为了进一步规范网络安全事件的分类统计，使广大互联网用户更容易理解一些专业的网络安全术语，2010年3月23日上午，国家互联网应急中心（CNCERT）邀请北京神州绿盟科技有限公司、华为技术有限公司、哈尔滨安天信息技术有限公司、奇虎360（北京）软件有限公司、北京瑞星信息技术有限公司和北京知道创宇信息技术有限公司等单位的专家召开网络安全术语研讨会。会上与会专家结合当前网络安全现状以及各 @RuMo"js  
6 ]=xX_  
企业在安全服务中积累的相关经验和问题，针对CNCERT起草的《网络安全术语解释》（讨论稿）进行了认真研讨，并提出了很多富有建设性的建议。根据会议讨论的结果，总结形成了《网络安全术语解释》（第一版），详见CNCERT网站。会后CNCERT将在发布的《网络安全信息与动态周报》、《网络安全月报》、《中国互联网网络安全报告》（半年报、年报）等网络安全报告中逐步应用该术语解释。 j^U"GprA  
7 3jJV5J'"  
关于国家互联网应急中心（CNCERT） 46\!W(O~y  
国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心（英文简称是CNCERT或CNCERT/CC）成立于1999年9月，是工业和信息化部领导下的国家级网络安全应急机构，致力于建设国家级的网络安全监测中心、预警中心和应急中心，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置；国家互联网应急中心在我国大陆31个省、自治区、直辖市设有分中心。 :-hVb S0I  
联系我们 bv hV  
如果您对CNCERT《网络安全信息与动态周报》有何意见或建议，欢迎与我们的编辑交流。 W}zq9|p  
本期编辑：温森浩 z/QYy)_j  
网址： www.cert.org.cn OuWRLcJ!  
Email： mailto:[email protected] yn(bW\  
电话：010-82990125