第一篇：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)(1月4日-1月10日)

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)（1月4日-1月10日）

一、本周網(wǎng)絡(luò)安全基本態(tài)勢(shì)（1月4日-1月10日）

本周互聯(lián)網(wǎng)網(wǎng)絡(luò)安全整體評(píng)價(jià)為差。依據(jù)CNCERT監(jiān)測(cè)結(jié)果，境內(nèi)被篡改政府網(wǎng)站數(shù)量為178個(gè)，與前一周相比大幅增長(zhǎng)409%，其占境內(nèi)被篡改網(wǎng)站總數(shù)的比例也大幅增長(zhǎng)為31%；境內(nèi)被木馬控制的主機(jī)IP地址數(shù)目為3611個(gè)，與前一周相比下降68%；境內(nèi)被僵尸網(wǎng)絡(luò)控制的主機(jī)IP地址數(shù)目為14121個(gè)，與前一周相比下降15%。

近日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)一款流行論壇軟件系統(tǒng)Discuz!存在高危零日漏洞。攻擊者以論壇普通用戶身份登陸后，可以執(zhí)行特定構(gòu)造的php命令取得網(wǎng)站管理權(quán)限，進(jìn)而竊取用戶私密信息。網(wǎng)上已經(jīng)出現(xiàn)針對(duì)漏洞的攻擊腳本；經(jīng)CNCERT向Discuz!軟件廠商問(wèn)詢(xún)，其估計(jì)國(guó)內(nèi)約有10余萬(wàn)論壇網(wǎng)站受到漏洞嚴(yán)重威脅。目前，Discuz!軟件廠商已緊急發(fā)布漏洞補(bǔ)丁。CNCERT建議各部門(mén)立即檢查本單位網(wǎng)站系統(tǒng)，如使用了上述版本的Discuz!軟件，應(yīng)及時(shí)下載漏洞補(bǔ)丁，加固網(wǎng)站系統(tǒng)并進(jìn)行全面檢查，以免遭受侵害。

本周活躍惡意域名

cxvbvcbvn.3322.org:2000 a.mmzfc.cn a.ppmmoo.cn 004km.cnCERT重點(diǎn)監(jiān)測(cè)和關(guān)注上述惡意域名，這些域名通常被用作生成網(wǎng)頁(yè)木馬集成頁(yè)面或放馬頁(yè)面。其中，網(wǎng)頁(yè)木馬集成頁(yè)面是指集成利用多個(gè)系統(tǒng)和軟件漏洞進(jìn)行入侵的網(wǎng)頁(yè)木馬頁(yè)面，一般通過(guò)各種網(wǎng)馬生成器自動(dòng)生成；放馬頁(yè)面對(duì)應(yīng)的是提供木馬下載的宿主機(jī)，即掛馬源頭。

本周被掛馬的重要網(wǎng)站

近期CNCERT在掛馬網(wǎng)頁(yè)處置中，采取清除掛馬源頭惡意域名并結(jié)合通報(bào)重要網(wǎng)站掛馬情況的方法，有效地抑制了黑客網(wǎng)頁(yè)掛馬活動(dòng)。但CNCERT監(jiān)測(cè)發(fā)現(xiàn)：一些網(wǎng)站安全防范意識(shí)仍然比較淡薄，安全管理措施不嚴(yán)格，對(duì)于網(wǎng)站存在的漏洞并未引起足夠重視，其網(wǎng)站中存在的被掛馬頁(yè)面中的惡意跳轉(zhuǎn)鏈接長(zhǎng)期存在（一些掛馬頁(yè)面因掛馬源頭惡意域名失效，并未發(fā)生實(shí)際跳轉(zhuǎn)）。這說(shuō)明，上述網(wǎng)站存在的漏洞（如跨站腳本、SQL注入等）仍然未得到修補(bǔ)，黑客仍有可能利用相關(guān)漏洞植入網(wǎng)頁(yè)木馬，構(gòu)成新的危害。此外，CNCERT近期的監(jiān)測(cè)結(jié)果表明，黑客掛馬活動(dòng)存在間歇性特點(diǎn)，有時(shí)還會(huì)通過(guò)判斷域名（如：.gov.cn、.edu.cn）有選擇性地進(jìn)行掛馬，規(guī)避侵害政府和重要信息系統(tǒng)部門(mén)網(wǎng)站帶來(lái)的法律風(fēng)險(xiǎn)。為有效防范網(wǎng)頁(yè)掛馬，有關(guān)單位應(yīng)加強(qiáng)網(wǎng)站系統(tǒng)安全管理工作，從機(jī)制、技術(shù)等方面彌補(bǔ)漏洞。

下述三個(gè)為已經(jīng)失效但在較多被掛馬網(wǎng)站中仍然存在的惡意跳轉(zhuǎn)鏈接：

http://3b3.org、http://z360.net、http://318x.com，供相關(guān)網(wǎng)站管理員排查參考。

本周活躍惡意代碼 名稱(chēng) 特點(diǎn)

Hack.Exploit.Script.JS.Agent.ju 該病毒是一段加密病毒腳本，利用RealPlay播放器的溢出漏洞下載病毒文件進(jìn)行執(zhí)行和傳播。病毒會(huì)將網(wǎng)頁(yè)腳本加密成亂碼字符，普通用戶很難知道這是一段病毒代碼。病毒通過(guò)調(diào)用RealPlayer組件，用病毒作者特定shellcode溢出，成功之后，就會(huì)打開(kāi)病毒作者的下載地址，下載運(yùn)行其他病毒。

Trojan.DL.Giframe.a 這是一個(gè)下載者病毒，利用瀏覽器GIF文件解析漏洞進(jìn)行傳播。黑客通過(guò)誘導(dǎo)用戶瀏覽含有惡意代碼的GIF文件的網(wǎng)頁(yè)，來(lái)控制用戶連接到特定的包含惡意程序的網(wǎng)頁(yè)。Windows圖片查看器打開(kāi)含有惡意代碼的GIF文件不受影響。

Worm.Win32.MS08-067.c 這是一個(gè)以微軟系統(tǒng)MS08-067漏洞為主要傳播手段的蠕蟲(chóng)病毒。另外該病毒亦可通過(guò)U盤(pán)以自動(dòng)加載運(yùn)行的方式進(jìn)行傳播、并且由于病毒自身帶一個(gè)弱密碼表，會(huì)猜解網(wǎng)絡(luò)中計(jì)算機(jī)的登錄密碼，通過(guò)局域網(wǎng)傳播。

Trojan.Win32.BHO.fwb 該病毒通過(guò)下載器或捆綁到其他軟件中的方法進(jìn)行傳播。病毒運(yùn)行后，會(huì)將病毒體以文件形式釋放動(dòng)態(tài)庫(kù)文件到系統(tǒng)目錄下，并將該動(dòng)態(tài)庫(kù)文件注冊(cè)為IE的BHO組件；當(dāng)用戶打開(kāi)IE時(shí)候，病毒就會(huì)被激活，并且會(huì)打開(kāi)病毒指定的頁(yè)面，進(jìn)行流量點(diǎn)擊或者下載病毒作者的軟件。

win32.troj.fakefoldert 該病毒通過(guò)介質(zhì)進(jìn)行傳播，可創(chuàng)建當(dāng)前目錄下文件夾名的EXE文件，運(yùn)行后則主動(dòng)感染其他PE文件。

注：根據(jù)瑞星、金山等企業(yè)報(bào)送的惡意代碼信息整理。

本周，利用操作系統(tǒng)及應(yīng)用軟件漏洞進(jìn)行傳播的惡意代碼顯著增多。CNCERT提醒互聯(lián)網(wǎng)用戶一方面要加強(qiáng)系統(tǒng)漏洞修補(bǔ)加固，另一方面要加裝安全防護(hù)軟件。

本周重要漏洞

本周，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）整理和發(fā)布以下重要安全漏洞信息。

1、迅雷XPPlayer Activex控件遠(yuǎn)程溢出漏洞 迅雷是一款流行的P2P下載工具。迅雷所提供的XPPlayer ActiveX控件沒(méi)有正確的過(guò)濾提供給DapFileSize、VodUrl等方法的輸入?yún)?shù)，攻擊者通過(guò)構(gòu)建惡意網(wǎng)頁(yè)并誘使用戶訪問(wèn)就可以觸發(fā)緩沖區(qū)溢出，導(dǎo)致執(zhí)行任意代碼。目前廠商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序，建議用戶隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本。

2、Discuz！7.1 & 7.2 'showmessage'遠(yuǎn)程代碼執(zhí)行漏洞和'name'參數(shù)SQL注入漏洞 Discuz!是康盛創(chuàng)想(北京)科技有限公司基于php開(kāi)發(fā)的的論壇建站系統(tǒng)，其7.1與7.2版本后臺(tái)代碼中showmessage函數(shù)所調(diào)用的$scriptlang參數(shù)在默認(rèn)安裝的情況下未經(jīng)初始化。攻擊者以論壇普通用戶身份登陸后，可以執(zhí)行特定構(gòu)造的php命令取得網(wǎng)站管理權(quán)限，進(jìn)而竊取用戶私密信息。此外，Discuz!還存在輸入驗(yàn)證錯(cuò)誤，遠(yuǎn)程攻擊者可以利用漏洞進(jìn)行SQL注入攻擊，獲得密碼HASH等敏感信息。網(wǎng)上已經(jīng)出現(xiàn)針對(duì)漏洞的攻擊腳本，目前，Discuz!軟件廠商已緊急發(fā)布漏洞補(bǔ)丁，請(qǐng)Discuz!用戶下載并安裝廠商提供的補(bǔ)丁程序。

3、Skype GUI HTML代碼注入漏洞 Skype是一款流行的P2P VoIP軟件，可提供高質(zhì)量的語(yǔ)音通訊服務(wù)。Skype在處理來(lái)自用戶的數(shù)據(jù)時(shí)存在輸入驗(yàn)證漏洞，Skype未經(jīng)驗(yàn)證就把用戶數(shù)據(jù)用于構(gòu)造輸出到用戶GUI，可能導(dǎo)致用戶執(zhí)行惡意腳本。

4、Flashget IEHelper控件遠(yuǎn)程內(nèi)存破壞漏洞

FlashGet是一款流行的多線程下載軟件。FlashGet所安裝的IEHelper ActiveX控件在處理對(duì)象的實(shí)例化時(shí)存在問(wèn)題，用戶受騙訪問(wèn)了包含惡意對(duì)象實(shí)例化代碼的網(wǎng)頁(yè)就可以觸發(fā)內(nèi)存破壞，導(dǎo)致執(zhí)行任意指令。

小結(jié)：本周CNVD所整理的漏洞信息中，網(wǎng)上交易、下載、論壇以及網(wǎng)上語(yǔ)音等軟件均出現(xiàn)高危漏洞，嚴(yán)重影響廣大網(wǎng)民的相關(guān)上網(wǎng)安全。除Discuz！漏洞廠商已緊急發(fā)布漏洞補(bǔ)丁外，其它漏洞信息廠商尚未提供相應(yīng)的補(bǔ)丁或升級(jí)程序，目前針對(duì)這些漏洞的攻擊行為已出現(xiàn)，提醒廣大用戶注意采取安全防護(hù)措施。

注：CNVD是CNCERT聯(lián)合國(guó)內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國(guó)家信息安全漏洞共享平臺(tái)，旨在國(guó)內(nèi)建立統(tǒng)一收集、發(fā)布、驗(yàn)證、分析等信息安全漏洞應(yīng)急處置體系。

二、業(yè)界新聞速遞

政府監(jiān)管和政策法規(guī)動(dòng)態(tài)

1、工信部召開(kāi)全國(guó)視頻會(huì)議 落實(shí)服務(wù)商四大責(zé)任

1月8日，工業(yè)與信息化部聯(lián)合各省通信管理局、各基礎(chǔ)電信運(yùn)營(yíng)企業(yè)以及互聯(lián)網(wǎng)接入商召開(kāi)全國(guó)視頻會(huì)議，落實(shí)《工業(yè)和信息化部關(guān)于進(jìn)一步深入整治手機(jī)淫穢色情專(zhuān)項(xiàng)行動(dòng)工作方案》。重點(diǎn)強(qiáng)調(diào)了以下四個(gè)方面的內(nèi)容：1）嚴(yán)格清理接入資源層層轉(zhuǎn)租問(wèn)題；2）在IDC業(yè)務(wù)交易方面，全國(guó)服務(wù)商需要對(duì)主辦者身份信息當(dāng)面核驗(yàn)、并留存有效證件復(fù)印件；3）再次強(qiáng)調(diào)國(guó)內(nèi)域名注冊(cè)服務(wù)商的域名管理方式；4）詳細(xì)說(shuō)明全國(guó)備案系統(tǒng)開(kāi)發(fā)進(jìn)度安排及相關(guān)問(wèn)題。

2、公安部將加強(qiáng)對(duì)微博、QQ群的監(jiān)控 為加強(qiáng)社會(huì)管理工作力度，公安部在2009年度全國(guó)政法工作電視電話會(huì)議上提出，將有效整合各種資源，加強(qiáng)網(wǎng)上管控，將網(wǎng)警力量向縣級(jí)公安機(jī)關(guān)延伸，將網(wǎng)上巡控觸角向QQ群、微博客等管理薄弱空間延伸，提高網(wǎng)上發(fā)現(xiàn)、偵查、控制和處置能力，嚴(yán)防形成隱蔽性犯罪組織。

3、Comcast對(duì)FCC網(wǎng)絡(luò)中立規(guī)則提出上訴 1月8日，美國(guó)最大的有線電視和寬帶提供商Comcast正式就美國(guó)聯(lián)邦通訊委員會(huì)（FCC）是否具有監(jiān)管網(wǎng)絡(luò)中立的法律權(quán)力提出上訴。此前，聯(lián)邦通訊委員會(huì)以Comcast違反網(wǎng)絡(luò)中立規(guī)則阻止用戶共享文件而試圖扼殺人們的寬帶服務(wù)需求為由，起訴了Comcast。本次上訴很有可能推進(jìn)美立法委對(duì)通訊委員會(huì)互聯(lián)網(wǎng)法律權(quán)威的界定，提供執(zhí)行互聯(lián)網(wǎng)中立規(guī)則的動(dòng)力；也會(huì)敦促美國(guó)國(guó)會(huì)更加明確的界定通訊委員會(huì)的網(wǎng)絡(luò)權(quán)威，以使委員會(huì)執(zhí)行對(duì)有線和無(wú)線寬帶提供商的監(jiān)管和相關(guān)政策。

網(wǎng)絡(luò)安全事件與威脅

4、McAfee報(bào)告稱(chēng)中國(guó)是第三大網(wǎng)絡(luò)不安全國(guó)家 1月6日，據(jù)McAfee 2009年針對(duì)104個(gè)網(wǎng)域(web domains)網(wǎng)絡(luò)安全性調(diào)查的結(jié)果顯示，喀麥隆共和國(guó)的網(wǎng)站(7成的注冊(cè)網(wǎng)站不安全)和以.com 作為網(wǎng)域結(jié)尾的商業(yè)網(wǎng)站最不安全，分別排在第一位和第二位。中國(guó)和薩摩亞(Samoa)35%的注冊(cè)網(wǎng)站存在安全風(fēng)險(xiǎn)，并列排名第三。新加坡的網(wǎng)站安全惡化速度最快，最不安全網(wǎng)域排名從2008年的第67位急速躍升到第10位。5、2009年新增惡意軟件2500萬(wàn)個(gè)，高于前19年累計(jì)總和

1月7日，據(jù)國(guó)外媒體報(bào)道，互聯(lián)網(wǎng)安全公司熊貓實(shí)驗(yàn)室的最新數(shù)據(jù)顯示，2009年全球新增2500萬(wàn)個(gè)惡意軟件，高于此前19年的累計(jì)總和。在這2500萬(wàn)個(gè)新增的惡意軟件中，木馬程序占到了66%，其次是虛假殺毒軟件。

業(yè)界動(dòng)態(tài)

6、Adobe全線產(chǎn)品將采用補(bǔ)丁自動(dòng)升級(jí)機(jī)制 面對(duì)Adobe各款產(chǎn)品頻頻被曝存在安全漏洞，以及黑客對(duì)Adobe產(chǎn)品的日益青睞，Adobe公司決定再次改變補(bǔ)丁修復(fù)機(jī)制，采用新的自動(dòng)升級(jí)機(jī)制，在不通知用戶的情況下就會(huì)對(duì)產(chǎn)品進(jìn)行安全升級(jí)。本月，Adobe將發(fā)布這種自動(dòng)升級(jí)工具的測(cè)試版本，該工具將在后臺(tái)直接為終端用戶下載補(bǔ)丁，不再與用戶進(jìn)行交互。