本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为19万个,与前一周环比增长62;境内感染Conficker蠕虫的主机IP约为314万个,环比下降40;境内被篡改政府网站数量为101个,环比下降4;全国共监测到感染“毒媒”手机病毒的用户约33万;发现新的信息安全漏洞46个,环比下降56,其中高危漏洞5个,比上周减少23个。
11月26日,为保障亚运会闭幕式期间公共互联网安全稳定运行,CNCERT组织开展了木马和僵尸网络专项清理行动,共成功处置境内外300余个规模较大的木马和僵尸网络控制端IP、70余个参与挂马或主机控制的恶意域名。专项清理之后,网上恶意代码活跃程度明显下降,有效降低了黑客发动大规模网络攻击的风险。
一.本周政府网站安全情况
根据CNCERT监测数据,本周境内被篡改政府网站数量为101个,较上周有所减少,截至11月29日12时仍未恢复的被篡改政府网站如下表所示。
被篡改网站
所属部门或地区
xjfp.gov。cn
新疆维吾尔自治区
zd.hbjsw.gov。cn
安徽省淮北市
hbfgj.gov。cn
安徽省淮北市
www1.hbfgj.gov。cn
安徽省淮北市
xg.lzzjj.gov。cn
甘肃省兰州市
www。zysrkw.gov。cn
甘肃省张掖市
bhqx.gov。cn
广西自治区北海市
cz.yindu.gov。cn
河南省安阳市
jjxx.yindu.gov。cn
河南省安阳市
rx.ydbm.gov。cn
河南省安阳市
bm.yindu.gov。cn
河南省安阳市
rs.yindu.gov。cn
河南省安阳市
www。lylc.gov。cn
河南省洛阳市
fctw.gov。cn
湖北省襄樊市
tjs.whbts.gov。cn
湖北省武汉市
www。hldjw.gov。cn
辽宁省葫芦岛市
www。baotou-epb.gov。cn
内蒙古自治区包头市
www。yl110.gov。cn
陕西省西安市
bm.chongzhou.gov。cn
四川省崇州市
www。lship.gov。cn
四川省乐山市
www。msjcy.gov。cn
四川省眉山市
ncfdj.gov。cn
四川省南充市
qlsw.gov。cn
四川省邛崃市
www。ksrsrc.gov。cn
新疆维吾尔自治区喀什地区
根据CNCERT监测和通信行业报送数据,截至11月29日12时,仍存在被挂马或被植入不正当广告链接(如:网络游戏、色情网站链接)的政府网站如下表所示。
被挂马网站
所属部门或地区
www。ndmsa.gov。cn
福建省宁德市
www。geta.gov。cn
贵州省贵阳市
www。hnxcxf.gov。cn
河南省许昌市
xyhb.gov。cn
陕西省咸阳市
ys.cdcc.gov。cn
四川省成都市
ssrd.klmy.gov。cn
新疆自治区克拉玛依市
www。bsfy.gov。cn
云南省保山市
www。wlkx.gov。cn
浙江省温岭市
www。jddpc.gov。cn
浙江省建德市
注1:政府网站是指英文域名以“.gov。cn”结尾的网站,但不排除个别非政府部门也使用“.gov。cn”的情况。表格中仅列出了被篡改网站或被挂马网站的域名,而非具体被篡改或被挂马的页面URL。
注2:被挂马网站根据CNCERT自主监测结果以及微软、绿盟、奇虎360、华为、联想网御、安信华、东软等企业报送的挂马信息整理。
二.本周恶意代码活动情况
1、本周活跃恶意代码
本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞、网页挂马进行传播的恶意代码所占比例较高。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,安装安全防护软件;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。
名称
特点
Hack.Exploit.Script.JS.Agent.ju
该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。
Trojan.Win32.Generic.124587E6
这是一个木马下载器,主要通过网页挂马进行传播,可从http://update.371。net/usrat.rar下载程序并执行。
Trojan.Win32.Generic.124F3EC3
该木马可将IE主页修改为http://www。9384。com/?100082,并可在系统目录下释放文件bhoexe.dll,还可删除任务栏的IE快捷方式。
Dropper.Win32.Delf.aer
该木马可以无界面的方式启动IE打开网页http://www。wg414。com/Sorting/Catalog40/Sorting_Indat,并释放其它程序。
Worm.Win32.MS08-067.c
这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。
注3:根据瑞星、金山、奇虎360等企业报送的恶意代码信息整理。
2、本周活跃恶意域名
本周,ANVA重点关注的五组恶意域名如下表所示。其中,第一组恶意域名涉及多个域,近期一直保持活跃状态;第二组恶意域名也较为活跃,多用于网页中的恶意跳转链接;第三组恶意域名虽然归属国内外不同的域名服务机构,但很可能为同一挂马团伙所掌握;第四组和第五组恶意域名为本周新增的恶意域名。CNCERT每周均协调处理境内注册的恶意域名,起到了一定的效果。请各网站管理机构注意检查网站页面中是否被嵌入含有下述恶意域名的URL,并及时修补漏洞,加强网站的安全防护水平。
组别
恶意域名列表
域名服务机构
第一组
10f.conna.dtdns。net、10g.conna.dtdns。net、10h.conna.dtdns。net、10j.conna.dtdns。net、10r.conna.dtdns。net、10t.conna.dtdns。net、10u.conna.dtdns。net、10x.conna.dtdns。net、12a.conna.dtdns。net、12d.conna.dtdns。net、12h.conna.dtdns。net、12k.conna.dtdns。net、12l.conna.dtdns。net、12o.conna.dtdns。net、12r.conna.dtdns。net、12w.conna.dtdns。net、22b.conna.dtdns。net、22e.conna.dtdns。net、22f.conna.dtdns。net、22g.conna.dtdns。net、22h.conna.dtdns。net、22r.conna.dtdns。net、22u.conna.dtdns。net、22y.conna.dtdns。net、26a.conna.dtdns。net、26e.conna.dtdns。net、26f.conna.dtdns。net、26i.conna.dtdns。net、26o.conna.dtdns。net、26w.conna.dtdns。net、26y.conna.dtdns。net、31c.conna.dtdns。net、31d.conna.dtdns。net、31g.conna.dtdns。net、31i.conna.dtdns。net、31j.conna.dtdns。net、31l.conna.dtdns。net、31m.conna.dtdns。net、31o.conna.dtdns。net、31q.conna.dtdns。net、31u.conna.dtdns。net、31w.conna.dtdns。net、31y.conna.dtdns。net、32a.conna.dtdns。net、32d.conna.dtdns。net、32h.conna.dtdns。net、32l.conna.dtdns。net、32n.conna.dtdns。net、32q.conna.dtdns。net、32r.conna.dtdns。net、32u.conna.dtdns。net、32v.conna.dtdns。net、32w.conna.dtdns。net、6.conna.dtdns。net、9c.conna.dtdns。net、h.conna.dtdns。net、n.conna.dtdns。net
DIRECTNICLTD.(境外机构)
31a.office.1s.fr、31b.office.1s.fr、31c.office.1s.fr、31d.office.1s.fr、31f.office.1s.fr、31h.office.1s.fr、31j.office.1s.fr、31k.office.1s.fr、31m.office.1s.fr、31o.office.1s.fr、31p.office.1s.fr、31u.office.1s.fr、31w.office.1s.fr、32c.office.1s.fr、32j.office.1s.fr、32k.office.1s.fr、32m.office.1s.fr、32n.office.1s.fr、32o.office.1s.fr、32q.office.1s.fr、32r.office.1s.fr、32s.office.1s.fr、32u.office.1s.fr、32v.office.1s.fr、32w.office.1s.fr
OVH
(境外机构)
31f.inc.ass0.fr、31r.inc.ass0.fr、31w.inc.ass0.fr、31y.inc.ass0.fr、32a.inc.ass0.fr、32d.inc.ass0.fr、32f.inc.ass0.fr、32g.inc.ass0.fr、32j.inc.ass0.fr、32m.inc.ass0.fr、32o.inc.ass0.fr、32q.inc.ass0.fr、32r.inc.ass0.fr、32u.inc.ass0.fr、32v.inc.ass0.fr、32w.inc.ass0.fr
GANDI
(境外机构)
32p.keccs.be.ma、32r.keccs
