9月27日至10月10日国庆节长假前后两周,互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。
依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,9月27日至10月3日,境内被木马控制的主机IP地址数目约为21万个,同种类木马感染量与前一周环比下降0.2;境内被僵尸网络控制的主机IP地址数目为772个,同种类僵尸网络感染量环比下降4;境内被篡改政府网站数量为75个,环比增长7;新增信息安全漏洞42个,环比下降50,未出现高危漏洞。
注1:与上周相比,本周调整了木马和僵尸网络监测范围,总数变更为77种木马和26种僵尸网络。为保证数据的可比性,仍取近两周相同种类木马和僵尸网络的监测数据做环比分析。
10月4日至10日,境内被木马控制的主机IP地址数目约为16万个,与前一周环比下降25;境内被僵尸网络控制的主机IP地址数目为862个,环比增长12;境内被篡改政府网站数量为92个,环比增长23;新增信息安全漏洞62个,环比增长48,其中高危漏洞23个,比上周增加23个。
一.本周政府网站安全情况
根据CNCERT监测数据,9月27日至10月10日境内被篡改政府网站数量较前两周有所增长,截至10月11日12时仍未恢复的被篡改政府网站如下表所示。
被篡改网站
所属部门或地区
jtkx.ahjt.gov。cn
安徽省
shangbao.ahjt.gov。cn
安徽省
chaxun.ahjt.gov。cn
安徽省
tp.gzga.gov。cn
贵州省
gxxds.gxi.gov。cn
广西壮族自治区
www。hbnsbd.gov。cn
湖北省
www。jljsw.gov。cn
吉林省
www。nmgp.gov。cn
内蒙古自治区
www。ynenergy.gov。cn
云南省
www。ydqcz.gov。cn
安徽省阜阳市
www。hbfgj.gov。cn
安徽省淮北市
xh.tlinfo.gov。cn
安徽省铜陵市
tlinfo.gov。cn
安徽省铜陵市
tlxkj.gov。cn
安徽省铜陵市
xz.tlinfo.gov。cn
安徽省铜陵市
www。ndjt.gov。cn
福建省宁德市
jsj.jinchuan.gov。cn
甘肃省金昌市
www。lzzjj.gov。cn
甘肃省兰州市
www。hylss.gov。cn
广东省河源市
www。bti.lg.gov。cn
广东省深圳市
www。lgqwjs.gov。cn
广东省深圳市
www。sklog.labs.gov。cn
广东省广州市
filter.gov。cn
河南省新乡市
xcqxj.gov。cn
河南省许昌市
www。sysld.gov。cn
黑龙江省双鸭山市
szgtzy.gov。cn
湖北省随州市
vod.jianghan-edu.gov。cn
湖北省武汉市
webmail.whbts.gov。cn
湖北省武汉市
old.xfjt.gov。cn
湖北省襄樊市
jjpc.yytj.gov。cn
湖南省岳阳市
tjhy.yytj.gov。cn
湖南省岳阳市
yy.yytj.gov。cn
湖南省岳阳市
yyl.yytj.gov。cn
湖南省岳阳市
yytj.gov。cn
湖南省岳阳市
www。zjjrs.gov。cn
湖南省张家界市
www。zjjlz.gov。cn
湖南省张家界市
www。zzslj.gov。cn
湖南省株洲市
www。zxst.gov。cn
湖南省资兴市
www。lywj.gov。cn
辽宁省辽阳市
www。alstax.gov。cn
内蒙古自治区阿拉善盟
www。ssjy.gov。cn
内蒙古自治区赤峰市
www。yc12365.gov。cn
宁夏自治区银川市
wujia.gaomi.gov。cn
山东省高密市
www。tyswzw.gov。cn
山西省太原市
www。yl110.gov。cn
陕西省西安市
zx.shzb.gov。cn
上海市闸北区
www。gyssjj.gov。cn
四川省广元市
ybzs.gov。cn
四川省宜宾市
bm.klmy.gov。cn
新疆自治区克拉玛依市
jdk.gov。cn
浙江省金东经济开发区
根据CNCERT监测和通信行业报送数据,截至10月8日16点,仍存在被挂马或被植入不正当广告链接(如:网络游戏、色情网站链接)的政府网站如下表所示。
被挂马网站
所属部门或地区
www。qhlr.gov。cn
青海省
www。bidding.hunan.gov。cn
湖南省
www。ynenergy.gov。cn
云南省
tea.ahnw.gov。cn
安徽省
www。tssgzw.gov。cn
甘肃省天水市
www。szsw.gov。cn
湖北省随州市
www。xthb.gov。cn
湖南省湘潭市
www。hzxzsp.gov。cn
广东省惠州市
www。hzip.gov。cn
浙江省杭州市
www。jddpc.gov。cn
浙江省建德市
注1:政府网站是指英文域名以“.gov。cn”结尾的网站,但不排除个别非政府部门也使用“.gov。cn”的情况。表格中仅列出了被篡改网站或被挂马网站的域名,而非具体被篡改或被挂马的页面URL。
二.本周恶意代码活动情况
1、本周活跃恶意代码
9月27日至10月10日,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,恶意代码中下载者木马和盗号木马较为活跃。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,安装安全防护软件;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。
名称
特点
Trojan.DL.PicFrame.a
这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe<\iframe,由于iframe的width和height都很小,用户极易在未察觉的情况下访问恶意网址。
Hack.Exploit.Script.JS.Agent.ju
该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。
Trojan.DL.Giframe.a
这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。
Trojan.PSW.Win32.GameOL.yuc
这是一个网络游戏盗号木马,盗取问道等游戏的账号,通过下载器下载、U盘或捆绑到其他软件中进行传播。该木马可将游戏账号回传至“”。这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。
注2:根据瑞星、金山、奇虎360等企业报送的恶意代码信息整理。
2、本周活跃恶意域名
9月27日至10月10日,ANVA重点关注的五组恶意域名如下表所示。根据CNCERT近期的观察和分析,第一组和第二组恶意域名很可能为同一挂马团伙使用,其中第二组恶意域名近两周较为活跃;第三组和第四组恶意域名也很可能为同一挂马团伙使用,第三组恶意域名中的25u。com域名有增多趋势,第四组恶意域名中部分Kwik.To域名变更了其对应的IP地址;第五组恶意域名的构成比较特殊,多以国内知名网站域名(如163。com、www。baidu。com和sina。com等)和wwvv.us组合构成,具有网页仿冒的嫌疑。近几个月来,CNCERT已协调处理了数以百计的境内相关域名,请各网站管理机构注意检查网站页面中是否被嵌入下述恶意域名的URL,并及时修补漏洞,加强网站的安全防护水平。
组别
恶意域名列表
域名注册商
第一组
12d.conna.dtdns。net、31l.conna.dtdns。net、22h.conna.dtdns。net、31c.conna.dtdns。net、31x.conna.dtdns。net、32p.conna.dtdns。net、10x.conna.dtdns。net、26a.conna.dtdns。net、31s.conna.dtdns。net、26f.conna.dtdns。net、32o.conna.dtdns。net、31y.conna.dtdns。net、32i.conna.dtdns。net、10t.conna.dtdns。net、p.conna.dtdns。net、32n.conna.dtdns。net、32m.conna.dtdns。net、22p.conna.dtdns。net、12h.conna.dtdns。net、31j.conna.dtdns。net、4.conna.dtdns。net、n.conna.dtdns。net、26o.conna.dtdns。net、12w.conna.dtdns。net、12a.conna.dtdns。net、h.conna.dtdns。net、31d.conna.dtdns。net、6.conna.dtdns。net、10g.conna.dtdns。net、26q.conna.dtdns。net、31w.conna.dtdns。net、10u.conna.dtdns。net、32j.conna.dtdns。net、10r.conna.dtdns。net、10j.conna.dtdns。net、31g.conna.dtdns。net、31o.conna.dtdns。net、10p.conna.dtdns。net、12r.conna.dtdns。net、31i.conna.dtdns。net、22y.conna.dtdns。net、i.conna.dtdns。net
DIRECTNICLTD.
(境外注册商)
第二组
32l.office.1s.fr、32n.office.1s.fr、31k.office.1s.fr、31a.office.1s.fr、32j.office.1s.fr、32h.office.1s.fr、3
