本周网络安全基本态江苏..docVIP

本周网络安全基本态势（11月1日-11月7日） 发布时间： 2010-12-13作者： 【 字体：大 中 小 】 　　本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为18万个，同种类木马感染量与前一周环比增长3%；境内感染Conficker蠕虫的主机IP约为201万个，环比下降39%；境内被篡改政府网站数量为72个，环比增长31%；新增信息安全漏洞94个，环比下降14%，其中高危漏洞15个，比上周增加2个。　　注1：与上周相比，本周调整了木马监测范围，总数变更为110种木马。为保证数据的可比性，仍取近两周相同种类木马的监测数据做环比分析。　　一．本周政府网站安全情况　　根据CNCERT监测数据，本周境内被篡改政府网站数量为72个，较上周有所增长，截至11月8日12时仍未恢复的被篡改政府网站如下表所示。 所属部门或地区 安徽省 安徽省 安徽省 河南省 新疆维吾尔自治区 安徽省铜陵市 广东省河源市 河南省灵宝市 河南省新乡市 黑龙江省哈尔滨市 湖北省武汉市 湖南省张家界市 湖南省资兴市 内蒙古自治区包头市 宁夏自治区银川市 山西省太原市 上海市闸北区 新疆维吾尔自治区阿拉善盟 新疆自治区喀什地区 新疆自治区克拉玛依市 浙江省金东经济开发区 　　根据CNCERT监测和通信行业报送数据，截至11月9日12时，仍存在被挂马或被植入不正当广告链接（如：网络游戏、色情网站链接）的政府网站如下表所示。 所属部门或地区 甘肃省 广东省惠州市 湖北省鄂州市 山东省韩城市 2007. 重庆市江北区 　　注2：政府网站是指英文域名以“.”结尾的网站，但不排除个别非政府部门也使用“.”的情况。表格中仅列出了被篡改网站或被挂马网站的域名，而非具体被篡改或被挂马的页面URL。　　二．本周恶意代码活动情况　　1、本周活跃恶意代码　　本周，中国反网络病毒联盟（ANVA）整理发布的活跃恶意代码如下表所示。其中，利用应用软件及操作系统漏洞进行传播的恶意代码所占比例较高，利用U盘等移动存储设备、网页挂马或下载器进行传播的恶意代码有所增多。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固，安装安全防护软件；另一方面，建议互联网用户使用正版的操作系统和应用软件，不要轻易打开网络上来源不明的图片、音乐、视频等文件，不要下载和安装一些来历不明的软件，特别是一些所谓的外挂程序。 特点 Hack.Exploit.Script.JS.Agent.ju 该病毒采用加密脚本，利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符，普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件，用特定构造的shellcode进行溢出。成功之后，就会打开指定的下载地址，下载其他病毒。 Trojan.DL.Giframe.a 这是一个下载者木马，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。不过，目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。 Trojan.DL.PicFrame.a 这是一个下载者木马，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的iframe\iframe，由于iframe的width和height 都很小，用户极易在未察觉的情况下访问恶意网址。 Trojan.Win32.Generic.123E6D1E 该病毒通过网页挂马或下载器进行传播，利用网页点击器通过IE浏览器不断打开如下网址：/cj/direct/627945.html、/union.html?P=3624。 Trojan.Script.VBS.Agent.bs VBS脚本蠕虫主要通过U盘等移动设备传播，会重复感染可移动设备，通过自动播放执行。 　　　　　　　注3：根据瑞星、金山、奇虎360等企业报送的恶意代码信息整理。　　2、本周活跃恶意域名　　本周，ANVA重点关注的三组恶意域名如下表所示。这三组恶意域名分类与上周相似，每一组恶意域名都很可能为同一挂马团伙使用。其中，第一组和第二组恶意域名都涉及多个域，近期一直保持活跃状态，本周25的相关恶意域名数量有所减少；第三组恶意域名属于isgre.at域，近两个月来较活跃。CNCERT每周均协调处理境内注册的恶意域