网络安全信息与动态周报-XXXX年第12期(点击下载)-

1一、本周网络安全基本态势（3月22日-3月28日）本周互联网网络安全态势整体评价为中。我国互联网基础设施运行平稳，全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为9646个，与前一周环比增长7%；境内被僵尸网络控制的主机IP地址数目为1.0万个，环比下降14%；境内被篡改政府网站数量为68个，环比下降38%。本周重点网络安全事件本周CNCERT监测发现，境内被篡改网站数量较上周有所下降。截至3月29日12时仍未恢复的被篡改的部分地市级以上（含地市级）政府部门网站如下表所示。被篡改页面URL所属部门或地区级别江苏省省部级上海市省部级安徽省安庆市地市级安徽省合肥市地市级甘肃省平凉市地市级广东省深圳市龙岗区地市级贵州省遵义市地市级河北省衡水市地市级河北省京唐港地市级河南省新乡市地市级湖北省安陆市地市级湖北省黄冈市地市级湖南省湘西自治州地市级湖南省株洲市地市级江苏省南通市地市级江苏省镇江市地市级2010年12期2010年3月30日网络安全信息与动态周报国家互联网应急中心良中差危优2被篡改页面URL所属部门或地区级别辽宁省长兴岛临港工业区地市级辽宁省铁岭市地市级宁夏自治区青铜峡市地市级山东省邹城市地市级上海市静安区地市级四川省南充市地市级浙江省嘉兴市地市级本周活跃恶意域名本周，较为活跃的恶意域名如下表所示。其中，有三组恶意域名最为活跃：1）以bij.pl为二级域名的恶意域名仍在不停变换，并且以hfu.xorg.pl作为跳转链接；2）以wwvv.us为二级域名的恶意域名大量出现，并在前缀中采用借用知名站点域名的手法，如：；3）以3322.org为二级域名，前缀包含“pkings”的恶意域名大量出现。此外，“”和“”这两个恶意域名也侵害了较多的网站和用户。adq.bij.pl、adr.osa.pl、aft.bij.pl、afv.bij.pl、afx.bij.pl、afz.bij.pl、aga.bij.pl、agl.bij.pl、hfu.xorg.pl、、、w212.2.wwvv.us、w3svcjs.9966.org、113pkings.3322.org、114pkings.3322.org、117pkings.3322.org注：根据华为、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理。本周活跃恶意代码名称特点Trojan.DL.PicFrame.a这是一个下载者病毒，利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的iframe\iframe，由于iframe的width和height都很小，用户极易在未察觉的情况下访问恶意网址。Trojan.DL.Giframe.a这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。3注：根据瑞星、金山等企业报送的恶意代码信息整理。本周，利用操作系统及应用软件漏洞传播的恶意代码仍占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。本周重要安全漏洞本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。1、MicrosoftInternetExplorer存在未明远程代码执行漏洞MicrosoftInternetExplorer是一款流行的网页浏览器，其存在一个原理未明的远程代码执行漏洞，可允许攻击者以登录用户权限执行任意指令。在Pwn2Own黑客大赛上，PeterVreugdenhil利用自己发现的MSIE0DAY，成功绕过ASLR和DEP的系统保护机制，以登录用户权限执行任意指令。目前微软尚未发布升级补丁，请用户随时关注厂商的主页以及时获取补丁更新信息。2、Lexmark激光打印机存在两个安全漏洞Lexmark激光打印机是目前市面上流行的打印机设备。Lexmark激光打印机的内部程序存在两个安全漏洞：Lexmark激光打印机PJL处理远程栈缓冲区溢出漏洞，允许远程攻击者利用漏洞在受影响打印机上执行任意代码；Lexmark激光打印机FTP服务远程拒绝服务漏洞。3、CiscoIOS存在多个远程拒绝服务漏洞CiscoIOS是一款流行的网际操作系统。CiscoIOS存在多个远程拒绝服务漏洞。具体漏洞包括：CiscoIOS多协议标签交换(MPLS)畸形报文拒绝服务漏洞、CiscoIOSNATSCCP分片支持拒绝服务漏洞、CiscoIOSSIP消息远程代码执行漏洞、CiscoIOSH.323接口内存泄漏远程拒绝服务漏洞、CiscoIOSIPsecIKE畸形报文远程拒绝服务漏洞、CiscoIOS软件畸形TCP报文远程拒绝服务漏洞、CiscoIOSForCommunicationManagerExpressSCCP拒绝服务漏洞等。Worm.Win32.MS08-067.c这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，通过局域网传播。AdWare.Win32.Fsutk.a该病毒为广告程序，通过浏览器辅助对象的方式向用户推送广告。病毒以动态库文件的形式存在，通常被其他病毒捆绑传播和加载。病毒被加载后，会创建并设置注册表键值，将自身注册为BHO组件，并随着IE的启动而自动启动。当判断IE地址栏的网址包含所设字符时，会解析网页中的HTML代码，并将广告链接插入其中。win32.troj.fakefoldert该蠕虫主要通过介质传播。通过创建当前目录下文件夹名的EXE文件，运行后主动感染其他PE文件。44、MozillaFirefox存在多个安全漏洞MozillaFirefox是一款流行的网页浏览器。MozillaFirefox存在多个安全漏洞，攻击者可能利用漏洞绕过安全限制，执行任意指定的程序，获取系统权限，窃取用户敏感信息。具体漏洞包括：MozillaFirefox'window.location'同源策略安全绕过漏洞、MozillaFirefox'gfxTextRun::SanitizeGlyphRuns()'远程内存破坏漏洞、MozillaFirefox'TraceRecorder::traverseScopeChain()'远程内存破坏漏洞、MozillaFirefox图像预载内容策略检查安全绕过漏洞、MozillaFirefoxWOFF解码器整数溢出漏洞、MozillaFirefox'multipart/x-mixed-replace'图像远程内存破坏漏洞、MozillaFirefox异步HTTP授权提示信息泄漏漏洞、MozillaFirefox/Thunderbird/SeaMonkey跨域脚本漏洞、MozillaFirefox缓存XUL样式表安全绕过漏洞。5、OSSIM存在多个安全漏洞OSSIM即开源安全信息管理是一款流行的开源安全管理系统。OSSIM存在多个安全漏洞，允许远程攻击者提交恶意请求以WEB进程权限执行任意命令。具体漏洞包括：OSSIM'what'参数远程命令执行漏洞、OSSIM'repository_attachment.php'任意文件上传漏洞、OSSIM'file'参数目录遍历漏洞。小结：上述CNVD所整理的漏洞信息中IE浏览器、Firefox浏览器、CiscoIOS操作系统、打印机设备软件等均出现了严重漏洞，影响了我国网民的上网安全。目前，网上已经出现针对第1条漏洞的零日攻击代码，提醒广大用户注意采取安全防护措施。本周，除第1条漏洞信息厂商尚未提供相应的补丁程序外，其他漏洞信息均有修复方案，提醒广大用户注意采取安全防护措施，尽快下载相关补丁程序。注：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。二、业界新闻速递政府监管和政策法规动态1、美参议院商务委员会通过《网络安全法案》新华网消息：3月24日，美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业更好应对网络威胁的《网络安全法案》。该法案不允许总统单方面关闭美国的互联网；要求政府机构和私营部门在网络安全领域加强信息共享，在应对“网络安全紧急情况”时加强合作；并要求通过市场手段，鼓励培养网络安全人才，开发网络安全产品和服务。目前，该法案正进入参议院全院表决程序。2、美众议院通过一份禁止政府部门职员使用P2P文件共享软件的法案中文业界资讯网消息：美国众议院近日通过了一项旨在禁止政府部门职员在办公室里或在家中远程连接到单位网络时，使用点对点文件共享软件的提案。这项提案于2009年511月份由EdolphusTowns众议员提出，名为《联邦文件共享安全法案》（SecureFederalFileSharingAct），法案的主要内容是号召美国行政管理和预算局（OMB）在单位的电脑和网络中屏