网络安全信息与动态周报2012年第14期

一、本周网络安全基本态势1的主机数约为196.7万个，同种类网络病毒感染量2较上周环比增加了约4.2；无新增网络病毒家族；境内被篡改政府网站数量为66个，环比大幅上升了约1.1倍；新增信息安全漏洞11

一、本周网络安全基本态势

1的主机数约为196.7万个，同种类网络病毒感染量2较上周环比增加了约4.2；无新增网络病毒家族；境内被篡改政府网站数量为66个，环比大幅上升了约1.1倍；新增信息安全漏洞111个，较上周新增数量减少了约30.6，但其中新增高危漏洞46个，较上周新增数量增加了约2.2。

本周网络病毒活动情况

1、网络病毒监测情况

本周境内感染网络病毒的主机数约为196.7万个，同种类网络病毒感染量较上周环比上升了约4.2。其中，境内被木马或被僵尸程序控制的主机约为23.5万个，同种类木马或僵尸程序感染量环比减少了约1.5；境内感染飞客（Conficker ）蠕虫的主机约为173.2万个，环比上升约4.6。

木马或僵尸程序受控主机在我国大陆的分布情况如下图所示，其中红色区域是木马和僵尸程序感染量最多的地区，排名前三位的分别是广东省约3.2万个（约占中国大陆总感染量的13.8）、浙江省约1.9万个（约占中国大陆总感染量的8）和江苏省约1.6万个（约占中国大陆总感染量的7）。

注1：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通信行为的恶意代码。

注2：本周调整了网络病毒中木马和僵尸程序的监测范围，其中木马总数由271种增加到346种，而僵尸程序

2、TOP5活跃网络病毒

本周，中国反网络病毒联盟（ANV A ）3整理发布的活跃网络病毒4如下表所示。其中，利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高，病毒仍多以利用系统漏洞的方式对系统进行攻击。ANV A 提醒互联网用户一方面要加强系统漏洞的修补加固，安装具有主动防御功能的安全软件，开启各项监控，并及时更新；另一方面，建议互联网用户使用正版的操作系统和应用软件，不要轻易打开网络上来源不明的图片、音乐、视频等文件，不要下载和安装一些来历不明的软件，特别是一些所谓的外挂程序。

注3：中国反网络病毒联盟（Anti Network-Virus Alliance of China，缩写ANV A ）是由中国互联网协会网络与信息安全工作委员会发起、CNCERT 具体组织运作的行业联盟。反网络病毒联盟依托CNCERT 的技术和资源优势，通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作，并面向社会提供信息咨询、技术支持等服务，以净化公共互联网网络环境，提升互联网网络安全水平。

3、网络病毒捕获和传播情况

本周，CNCERT 捕获了大量新增网络病毒文件，其中按网络病毒名称统计新增144个，较上周新增数量增加了约34.6；按网络病毒家族7统计无新增。

网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。本周，CNCERT 监测发现排名前十的活跃放马站点域名和活跃放马站点IP 分别如下两表所示。

5

6

注5：网络病毒文件是网络病毒的载体，包括可执行文件、动态链接库文件等，每个文件都可以用哈希值唯一

标识。

注6：网络病毒名称是通过网络病毒行为、源代码编译关系等方法确定的具有相同功能的网络病毒命名，完整的命名一般包括：分类、家族名和变种号。一般而言，大量不同的网络病毒文件会对应同一个网络病毒名称。 注7：网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称，每个网络病毒家族一般包

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。本周，CNCERT 监测发现的放马站点中，通过域名访问的共涉及有347个域名，通过IP 直接访问的共涉及有74个IP 。在347放马站点域名中，于境内注册的域名数为108个（约占31.1），于境外注册的域名数为234个（约占67.4），未知注册商所属境内外信息的有5个（约占1.4）。下图为这些放马站点域名按所属顶级域的分布情况，排名前三位的是.com （约占41.8）、.info （约占20.5）、.cn （约占9.8

）。

此外，通信行业互联网信息通报成员单位向CNCERT 共报送了1893个恶意域名或IP(去重后

) ，各单位报送数量统计如下图所示。

针对CNCERT 自主监测发现以及各单位报送数据，CNCERT 积极协调域名注册机构等进行处置(参见本周事件处理情况部分) ，同时通过ANV A 在其官方网站上发布恶意地址黑名单(详细黑名单请参见：http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92) 。请各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址黑名单的URL ，并及时修补漏洞，加强网站的安全防护水平，不要无意中成为传播网络病毒的“帮凶”。

本周网站安全情况8

根据CNCERT 监测数据，本周境内被篡改网站数量为666个，较上周数量环比上升了约48.7。境内被篡改网站数量按类型分布情况如下图所示，数量最多的仍是.com 和.com.cn 域名类网站。其中，.gov.cn 域名类网站有66个（占境内9.9），环比大幅增加了约

1.1倍。

本周监测发现并协调处理的部分被篡改政府网站（网站所属机构标为省、市、区单位的gov.cn ）的列表如下，其中是否恢复是截止到4月1日17时前的验证结果。

注8：政府网站是指英文域名以“.gov.cn ”结尾的网站，但不排除个别非政府部门也使用“.gov.cn ”的情况。表

根据通信行业各互联网信息通报成员单位报送数据，本周共发现境内被挂马网站数量为350个（去重后），较上周数量环比增加了约19。其中，.gov.cn 域名类网站有46个（约占境内13.1），较上周环比增加了约9.5。各单位报送数量如下图所示。

截至4月1日17时，仍存在被挂马或被植入不正当广告链接（如：网络游戏、色情网站链接）的政府网站如下表所示。

本周事件处理情况

1、 本周处理各类事件数量

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT 根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。

本周，CNCERT 通过与基础电信运营商、域名注册服务机构的合作机制，以及反网络病毒联盟（ANV A ）的工作机制，共协调处理了270起网络安全事件。 2、 本周恶意域名和恶意服务器处理情况

依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定，本周ANV A 在中国电信等基础电信运营企业以及电商互联、东南融通、花生壳、江苏邦宁、上海有孚、万网、希网、新网互联、新网数码等域名注册服务机构的配合和支持下，并通过与境外域名注册商和国际安全组织的协作机制，对174个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机IP 采取了处置措施。详细列表如下所示。

处置原因 传播恶意代码

处置域名列表

bincgidns.com 、cnmxxo.3322.org 、crr.1ic2.com 、xiazai.jfzly.com 、 data.92taojin.com 、down.92taojin.com 、facersmasters.com 、

处置服务器列表9 218.94.93.*

注9：CNCERT 不公开服务器的具体IP, 其中*代表数字0-255，可能会出现同一C 段的多个IP 使用相同的表示

ff.asdfe12314.com 、fromamericawhichlov.com 、

kugoo1.3322.org 、kugou1.3322.org 、kugou2.3322.org 、

kugou3.3322.org 、kugou5.3322.org 、malborofrientro.com 、 sogouaa.2288.org 、union.cpa521.com 、update.woai310.com 、 win.ibmupdate.com 、www.lb.fen78.com 、www.lcz188.com 、 www.mlu2008.com 、www.shyc119.com 、youyearyound.com 54984684.68544888.in 、bac.netc.hnt.aminy.inanl.kxflcc.tk 、 boc-comkj98016.imbbs.in 、boc-comkl9801e.vicp.cc 、

boc-comlk9083.imbbs.in 、boc-comnj86y.imbbs.in 、

cao51gegd11d.net 、cao51gegd11d.net 、cem6jgxddfcswns.tk 、 cem6jgxddfhsjhwngs.tk 、consignment.5173.com.gdfd.usa.cc 、 df8d8ff8d9vf.tk 、ebs.boc.cn.ocetclifent.prodsropg.ytcsd.ibiz.cc 、 emnxczsdf.minxzcs.cu.cc 、fdadstaobaorf.tk 、ferewewewe3q.tk 、 fg.myfw.us 、gd.myfw.us 、huahai8.com 、icbo.shoho.hotl.usa.cc 、 icbo.shop.lnter.usa.cc 、icbo.shop.lnurt.usa.cc 、www.sqmmspq.tk 、 icbo.shop.lnutce.igg.biz 、icbo.shop.loreta.usa.cc 、ioiaosdv.tk 、

仿冒农业银行 item.baotao.com.gftra-sr0et.tk 、item.taobao.com.dtre-s10xs.tk 、

item.taobao.com.rdar-va10s.tk 、item.taobeo.com.loreta.usa.cc 、 itemtaobaocon.tk 、iten.taobao.com.gwqvae.linkpc.net 、

iwhduhdtgy.tk 、mrbankicbc.brtast.tk 、mrbankicbc.brteai.cu.cc 、 mrbankicbc.scersfv.cu.cc 、pack.ieicuj.co.cc 、reicatr.7766.org 、 rereerwfergbvvf.tk 、sass.cu.cc 、semmmmmm.eicp.net 、

shipinwana.cu.cc 、shop16.8800.org 、shuka.linkpc.net 、

tao.cao51gegd11d.net 、tao1dgeiianyue.net 、uopewr4.2288.org 、 uuaisdlkca.tk 、vz.myfw.us 、wd15sngh88.tk 、www.18by.info 、 www.adc-hina.com 、www.fonvdh.tk 、www.seqiqi.usa.cc 、

www.seseji65.usa.cc 、www.tem.taobao.com.778511201000.igg.biz kjcca.2288.org 、17315pt.com 、58huanyu.com 、6872danbao.com 、 963741.tk 、b2c.icbc.com.cn.qncyc.com 、bpay.fr.ms 、

bac.netc.hnt.aminy.inanl.kxflcc.tk 、chengxiniin.co.cc 、

ems-buy.com 、hc2w.8866.org 、huazhongdb.com 、ioiaosdv.tk 、 item.taobao.com.rdar-va10s.tk 、item.taobeo.com.loreta.usa.cc 、 iten.taobao.yjsb800.com 、itme.taobao.com.ooajienf.linkpc.net 、

ltam.tccboo.ccn.aion.igg.biz 、luolk.3322.org 、mrbankicbc.brtast.tk 、 tao1dgeiianyue.net 、vaca.8800.org 、www.138td.tk 、www.188td.tk 、

仿冒工商银行 www.51changuu.com 、www.5888db.com 、www.5911danbao.com 、

www.5955danbao.com 、www.5988danbao.com 、www.vb168.info 、 www.6673danbao.com 、www.6872danbao.com 、www.qitiandb.com 、 www.7768danbao.com 、www.8826danbao.com 、www.963741.tk 、 www.blchuangtong.com 、www.cfjq8.com 、www.guanjiedb.com 、 www.huazhongdb.com 、www.huimiedb.com 、www.jingchengjy.info 、 www.jiuy1o.info 、www.jqww1.3322.org 、www.junlidb.com 、

www.shengxin168.com 、www.tsuu.cn.ms 、www.weixindanbao.com 、 www.zyb2c.com

210.51.24.*、 211.86.102.*、 211.94.187.*、 218.61.38.*、 59.53.92.*、 61.50.158.*

本周重要安全漏洞

本周，国家信息安全漏洞共享平台（CNVD ）10整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD 漏洞周报（www.cnvd.org.cn/reports/list）。

1、Cisco IOS安全漏洞

Cisco IOS（全称为Internetwork Operating System）是一款用于思科公司网络设备产品的操作系统。本周，Cisco IOS 被披露存在多个安全漏洞，攻击者可以对任意监听的UDP 端口进行攻击，或通过会话绕过授权执行任意命令，或利用漏洞进行拒绝服务攻击。CNVD 收录的相关漏洞包括：Cisco Internet 密钥交换（IKE ）远程拒绝服务漏洞、Cisco IOS授权安全绕过漏洞、Cisco IOS RSVP 功能远程拒绝服务漏洞、Cisco IOS MACE 拒绝服务漏洞（CNVD-2012-10941）、Cisco IOS 基于区域的防火墙远程拒绝服务漏洞（CNVD-2012-10951）、Cisco IOS 组播源发现协议远程拒绝服务漏洞、Cisco IOS Smart Install 远程拒绝服务漏洞、Cisco IOS NAT 功能SIP 远程拒绝服务漏洞。上述漏洞的综合评级均为“高危”。目前，厂商已经发布这些漏洞的修补程序，CNVD 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

2、 Opera Web Browser安全漏洞

Opera 是一款开源的WEB 浏览器。本周，Opera Web Browser 被披露存在多个安全漏洞，攻击者可以利用漏洞绕过跨域策略限制，窃取敏感信息。CNVD 收录的相关漏洞包括：Opera Web Browser 存在多个漏洞（CNVD-2012-10909、CNVD-2012-10910、CNVD-2012-10911、CNVD-2012-10914、CNVD-2012-10913）。其中，“Opera Web Browser 漏洞（CNVD-2012-10909）”和“Opera Web Browser 漏洞（CNVD-2012-10910）”的综合评注10：CNVD 是CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应

级为“高危”。目前，Opera Software已经发布这些漏洞的修补程序，CNVD 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

3、Wireshark 安全漏洞

Wireshark 是一款开源的网络协议分析工具。本周，Wireshark 被披露存在多个安全漏洞，攻击者可以利用漏洞发起拒绝服务攻击。CNVD 收录的相关漏洞包括：Wireshark 'call_dissector()'空指针引用拒绝服务漏洞、Wireshark 'ERF' 数据拒绝服务漏洞、Wireshark IEEE 802.11解析器无限循环拒绝服务漏洞、Wireshark MP2T 解析器拒绝服务漏洞。除“Wireshark IEEE 802.11解析器无限循环拒绝服务漏洞”之外，其余漏洞的综合评级均为“高危”。目前，厂商已经发布这些漏洞的修补程序，CNVD 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

4、HP 产品安全漏洞

HP Performance Manager 是一款监视服务器、客户端性能的应用软件；HP-UX （全称为Hewlett Packard UniX）是一款用于惠普公司服务器产品的操作系统。本周，上述HP 产品被披露存在多个漏洞，未授权的攻击者可以利用漏洞窃取敏感数据或执行任意代码。CNVD 收录的相关漏洞包括：HP Performance Manager存在未明远程代码执行漏洞、HP-UX WBEM 本地未授权访问漏洞、HP-UX WBEM远程未授权访问漏洞。其中，“HP Performance Manager 存在未明远程代码执行漏洞”的综合评级均为“高危”。目前，厂商已经发布这些漏洞的修补程序，CNVD 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

5、D-Link DCS-5605 PTZ ActiveX控件'SelectDirectory()'方法缓冲区溢出漏洞

D-Link DCS-5605是一款用于远程监控的网络设备。本周，该产品被披露存在一个缓冲区溢出漏洞。由于用户在浏览设备WEB 接口时，会被要求安装Active 控件以查看视频流内容，但控件包含DcsCliCtrl.dll 使用了不安全的SelectDirectory()函数和lstrcpyW()函数，导致提交畸型参数时会触发栈缓冲区溢出。目前，互联网上已经出现针对该漏洞的攻击代码，厂商尚未发布上述漏洞的修补程序，CNVD 提醒广大用户随时关注厂商主页以获取最新版本。

更多高危漏洞见下表所示，详细信息可根据CNVD 编号，在CNVD 官网（www.cnvd.org.cn ）进行查询。