漏洞启明网盘

1一、本周网络安全基本态势(5月24日-5月30日)本周互联网网络安全态势整体评价为中.
我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件.
针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改.
依据CNCERT抽样监测结果,境内被木马控制的主机IP地址数目为6883个,与前一周环比增长34%;境内被僵尸网络控制的主机IP地址数目为7425个,环比增长34%;境内被篡改政府网站数量为134个,环比增长6%.
本周重点网络安全事件本周CNCERT监测发现,境内被篡改政府网站数量较上周有所增长,截至5月31日12时仍未恢复的被篡改政府部门网站如下表所示.
被篡改页面URL所属部门或地区http://hwjsj.
hrc.
gov.
cn/index.
htm安徽省http://www.
gsrc.
gov.
cn/default.
asp甘肃省http://jxjy.
gov.
cn/index.
htm江西省http://law.
xw.
gov.
cn云南省http://aqfda.
gov.
cn/index.
htm安徽省安庆市http://www.
lypf.
gov.
cn//admin/admin_news.
asp福建省龙岩市http://www.
lylawyers.
gov.
cn/admin/1.
htm福建省龙岩市http://youth.
heyuan.
gov.
cn/help.
asp广东省河源市http://wzwater.
gov.
cn/index.
htm广西自治区梧州市http://www.
lpssafety.
gov.
cn/index.
asp贵州省六盘水市http://rhqs.
gov.
cn/index.
htm贵州省仁怀市http://www.
hehs.
lm.
gov.
cn/index.
htm河北省衡水市http://mdjagri.
gov.
cn/root.
htm黑龙江省牡丹江市http://www.
czqx.
gov.
cn/turk.
htm湖南省郴州市http://www.
cznjj.
gov.
cn/hehe/湖南省郴州市http://www.
czym.
gov.
cn/oto.
htm湖南省郴州市http://www.
yyzx.
gov.
cn/index.
htm湖南省益阳市2010年21期2010年6月1日网络安全信息与动态周报国家互联网应急中心良中差危优2被篡改页面URL所属部门或地区http://www.
csepz.
gov.
cn江苏省常熟市http://www.
tztyj.
gov.
cn//admin/admin_newx.
asp江苏省泰州市http://tzwjj.
gov.
cn/hex.
htm江苏省泰州市http://www.
ycdpc.
gov.
cn/news34/admin/1.
htm江苏省盐城市http://www.
jjkjw.
gov.
cn/index.
htm江西省九江市http://asxf.
gov.
cn/index.
asp辽宁省鞍山市http://fssti.
gov.
cn/index.
htm辽宁省抚顺市http://www.
gystjj.
gov.
cn宁夏回族自治区固原市http://www.
qtxdj.
gov.
cn/index.
htm宁夏自治区青铜峡市http://dzysc.
gov.
cn/index.
htm山东省德州市http://help.
mz.
gov.
cn/1.
htm四川省绵竹市http://ncfdj.
gov.
cn/index.
htm四川省南充市http://urumqi12319.
gov.
cn/index.
htm新疆自治区乌鲁木齐市http://www.
huzhoujsw.
gov.
cn/news/admin/admin_news.
asp浙江省湖州市注:CNCERT监测的政府网站是指英文域名以".
gov.
cn"结尾的网站,但不排除个别非政府部门也使用".
gov.
cn"的情况.
本周活跃恶意域名本周,CNCERT重点对使用多个域或使用多个端口号的恶意域名组进行了关注,其中集团化特征较为明显的五组恶意域名如下表所示:1)第一组域名主要用于恶意跳转链接,注册在.
com.
cn和.
info两个域上,该组域名自3月份起一直较为活跃;2)第二组域名主要用作漏洞触发页面或恶意代码下载服务器,以300端口为服务端口,主要注册在xicp.
cn、3322.
org、vu.
cx等域上,均为动态域名;3)第三组域名用于挂马的各个环节,注册在8866.
org、3322.
org、9966.
org等多个域上,并以7788、8899等端口作为服务端口;4)第四组域名多用作网马集成页面或漏洞触发页面,注册在.
CN、3322.
org、7766.
org等域上,以89端口作为服务端口;5)第五组域名是5月份较为活跃的恶意域名组,多用于恶意跳转链接或网马集成页面,CNCERT监测发现其中部分域名与第二组恶意域名存在密切关联.
组别域名列表第一组a.
lookforhosting.
com、e.
tlinee.
com.
cn、i.
chinawordpress.
info、q.
light2012.
info、q.
listage.
info、q.
love2012.
info、q.
sifly.
info、q.
sina163.
info、r.
tlinee.
com.
cn、u.
chinawordpress.
info、w.
light2012.
info、w.
listage.
info、w.
love2012.
info、w.
sifly.
info、w.
tlinee.
com.
cn、w.
toyony.
com.
cn、w.
ttkiss.
com.
cn、w.
vabcn.
com.
cn、y.
chinawordpress.
info第二组aia.
hao3.
uicp.
cn:300、bib.
ui18.
xicp.
cn:300、huh20.
3322.
org:300、tm22.
tvb.
vu.
cx:300、tm23.
tvb.
vu.
cx:300、tm30.
tvb.
vu.
cx:300、tm31.
tvb.
vu.
cx:300、tm32.
tvb.
vu.
cx:300、tm33.
tvb.
vu.
cx:300、tm34.
tvb.
vu.
cx:300、xia0.
ui18.
xicp.
cn:3003第三组hahagua15.
8866.
org:8899、hfbtrvrv.
3322.
org:8899、microsoft10.
8866.
org:8899、sdgdfgbe.
3322.
org:8899、gg978.
9966.
org:8899、microsoft11.
7766.
org:7788、erwtgrevzx.
3322.
org:7788、nnncmy.
3322.
org:8899第四组xin62814.
3322.
org:89、www.
delete8527.
cn:89、ffda444.
3322.
org:89、laoba14.
3322.
org:89、cjcqq.
2288.
org:89、cjbqq.
2288.
org:89、cjbqq.
3322.
org:89、cjbqq.
7766.
org:89、gdsk444.
3322.
org:89、hehe6865.
3322.
org:89、jilid632.
3322.
org:89、xin47245.
3322.
org:89、zhuzhuo2.
3322.
org:89、zhuzhuo5.
3322.
org:89第五组10a.
cssa.
c0m.
at、10c.
conna.
dtdns.
net、10f.
officea.
ze.
tc、10i.
inc.
0rg.
fr、10m.
gsup.
ass0.
fr、10m.
officea.
ze.
tc、10n.
gsup.
ass0.
fr、10n.
inc.
0rg.
fr、10p.
gsup.
ass0.
fr、10p.
inc.
0rg.
fr、10q.
inc.
0rg.
fr、10v.
gsup.
ass0.
fr、12a.
conna.
dtdns.
net、12c.
inc.
0rg.
fr、12d.
conna.
dtdns.
net、12g.
officea.
ze.
tc、12p.
conna.
dtdns.
net、12p.
officea.
ze.
tc、12q.
inc.
0rg.
fr、12t.
officea.
ze.
tc、12u.
cssa.
c0m.
at、12v.
inc.
0rg.
fr、12v.
officea.
ze.
tc、12w.
cssa.
c0m.
at、12w.
inc.
0rg.
fr、12w.
officea.
ze.
tc、12x.
conna.
dtdns.
net、12x.
cssa.
c0m.
at、12x.
gsup.
ass0.
fr、12x.
inc.
0rg.
fr、12x.
officea.
ze.
tc、12y.
cssa.
c0m.
at、12z.
cssa.
c0m.
at、12z.
officea.
ze.
tc、22a.
conna.
dtdns.
net、22a.
officea.
ze.
tc、22b.
cssa.
c0m.
at、22c.
conna.
dtdns.
net、22c.
cssa.
c0m.
at、22c.
gsup.
ass0.
fr、22c.
inc.
0rg.
fr、22c.
officea.
ze.
tc、22d.
conna.
dtdns.
net、22d.
cssa.
c0m.
at、22d.
gsup.
ass0.
fr、22d.
inc.
0rg.
fr、22d.
officea.
ze.
tc、22e.
conna.
dtdns.
net、22e.
cssa.
c0m.
at、22e.
inc.
0rg.
fr、22e.
officea.
ze.
tc、22f.
gsup.
ass0.
fr、22f.
inc.
0rg.
fr、22g.
conna.
dtdns.
net、22g.
cssa.
c0m.
at、22g.
inc.
0rg.
fr、22g.
officea.
ze.
tc、5.
inc.
0rg.
fr、6.
inc.
0rg.
fr、7.
inc.
0rg.
fr、7a.
inc.
0rg.
fr、8a.
gsup.
ass0.
fr、8a.
inc.
0rg.
fr、9a.
inc.
0rg.
fr、9b.
inc.
0rg.
fr、p.
conna.
dtdns.
net、w.
conna.
dtdns.
net注:根据微软、华为、奇虎、知道创宇、启明星辰、安天、东软等公司报送的网页挂马信息整理.
本周活跃恶意代码名称特点Trojan.
DL.
PicFrame.
a这是一个下载者病毒,利用浏览器查看图片文件解析漏洞进行传播.
该病毒在JPG文件末尾附加了包含恶意网站链接的,由于iframe的width和height都很小,用户极易在未察觉的情况下访问恶意网址.
Hack.
Exploit.
Script.
JS.
Agent.
ju该病毒是一段加密病毒脚本,利用RealPlay播放器的溢出漏洞下载病毒文件进行执行和传播.
病毒会将网页脚本加密成乱码字符,普通用户很难知道这是一段病毒代码.
病毒通过调用RealPlayer组件,用病毒作者特定shellcode溢出,成功之后,就会打开病毒作者的下载地址,下载运行其他病毒.
Trojan.
DL.
Giframe.
a这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播.
黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页.
4注:根据瑞星、金山等企业报送的恶意代码信息整理.
本周,利用应用软件及操作系统漏洞进行传播的恶意代码所占比例较高.
CNCERT提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件.
本周重要安全漏洞本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息.
1、AdobePhotoshopCS4存在一个严重的安全漏洞AdobePhotoshop是一款流行的图形处理软件.
Windows和Mac版的PhotoshopCS411.
0.
1及更早版本中存在一个严重的安全漏洞,远程攻击者可以利用漏洞,通过诱使用户在PhotoshopCS4软件中打开恶意的.
ASL、.
ABR或者.
GRD文件,最终完全控制受影响的系统.
Adobe已经提供了修补方案,请PhotoshopCS4用户尽快升级到PhotoshopCS411.
0.
2版本.
2、CiscoNetworkBuildingMediator存在多个安全漏洞CiscoNetworkBuildingMediator是思科推出的基于IP网的"智能互联建筑"解决方案.
CiscoNetworkBuildingMediator存在多个安全漏洞,具体漏洞包括:默认验证凭证漏洞、特权提升漏洞、未授权信息截获和访问漏洞.
目前厂商已经发布了升级补丁以修复这个安全问题,建议相关用户尽快下载更新.
3、GoogleChrome5.
0.
375.
55之前版本存在多个安全漏洞GoogleChrome是一款开源的WEB浏览器.
GoogleChrome5.
0.
375.
55之前版本存在多个安全漏洞,具体漏洞信息为:通过卸载事件处理器可进行URL地址伪造、安全浏览交互(SafeBrowsinginteraction)存在内存错误漏洞、白名单列表模式插件拦截器存在漏洞、拖放操作存在内存错误漏洞、执行扩展内容存在JavaScript漏洞.
目前GoogleChrome5.
0.
375.
55已经了修复以上漏洞,建议使用该产品的用户尽快下载更新.
4、Ziproxy存在整数溢出漏洞Ziproxy是一款具备转发、压缩功能的HTTP代理服务器,Ziproxy可以将网页图像转换成低质量的JPEG文件或JPEG2000,也可以压缩HTML和其他文字样的数据.
ZiproxyWindows图片查看器打开含有恶意代码的GIF文件不受影响.
Hack.
Exploit.
Script.
JS.
ShellCode.
by这是一个利用IE浏览器的相关漏洞进行传播的病毒.
该病毒利用mshtml.
dll模块对xml对象解析的漏洞,构造伪造虚函数指针,溢出后会解密自身脚本代码,利用漏洞执行汇编代码,下载病毒作者指定的病毒.
Worm.
Win32.
MS08-067.
c这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒.
另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播.
5的src/image.
c文件中的"jpg2bitmap()"函数和"png2bitmap()"函数存在整数溢出漏洞,远程攻击者可通过构建恶意的JPG图像和PNG图像,诱使用户解析以触发基于堆的缓冲区溢出.
目前Ziproxy3.
0.
1已经修复此漏洞,建议相关用户尽快下载更新.
5、EMCAvamar'gsan'服务存在拒绝服务漏洞EMCAvamar是一款企业级的数据备份和恢复解决应用.
EMCAvamar"gsan"服务在处理网络报文时存在漏洞,攻击者可通过提交特殊构建的TCP报文,导致服务挂起,造成拒绝服务攻击.
目前厂商已经发布了升级补丁以修复此安全问题,EMCAvamar4.
1用户可联系EMC客户服务获得patch#18975补丁更新,或请求升级到5.
0SP1及之后版本,建议相关用户尽快进行更新.
小结:本周,AdobePhotoshop、CiscoNetworkBuildingMediator、GoogleChrome浏览器等流行软件均出现了严重漏洞,这些漏洞可被攻击者利用来执行任意代码,对广大网民的上网安全造成严重影响.
请使用上述软件的用户注意采取安全防范措施,避免受到漏洞的影响.
注:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
二、业界新闻速递政府监管和政策法规动态1、美新版《国家安全战略报告》强调保障网络空间安全CNCERT网站消息:5月27日,美国白宫发布了奥巴马政府的"国家安全战略报告",该报告专门用一节阐述了网络空间安全的保障问题.
报告认为网络安全威胁是美国面临的最严重的国家安全、公共安全和经济挑战之一,这些威胁来自独立的犯罪黑客分子、有组织犯罪集团、恐怖分子,甚至是拥有先进技术的国家.
美国的信息基础设施是国家战略资产,保护信息基础设施同时也是在保护公民隐私和自由,是国家安全的优先事项.
遏制、防御、发现和保护基础设施免受网络入侵攻击,并从中快速恢复,需要通过人力资源和技术的投资,及强化国内外政府、企业和个人用户的伙伴关系来实现.
2、澳大利亚部长斥责Google街景严重侵犯隐私东方早报消息:5月24日,澳大利亚通信部长斯蒂芬·康罗伊(StephenConroy)在澳大利亚参议院的听证会上,斥责谷歌利用街景采集车收集用户数据是有史以来最严重的侵犯隐私的行为,康罗伊认为谷歌此举并非是"技术错误",谷歌的隐私政策有点让人"不寒而栗".
有评论人士认为,康罗伊此举是回击谷歌对澳大利亚网络新政的态度,早前谷歌就拒绝澳政府对Youtube进行过滤审查.
有报道称,澳大利亚将在今年下半年就网络审查进行立法.
6网络安全事件与威胁3、神秘网站专泄各国官方机密中青在线消息:近日,一个名为"维基泄密"(Wikileaks)的网站因披露美国直升机滥杀伊拉克平民的视频而备受关注.
"维基泄密"网站成立于2006年,创立者为澳大利亚记者朱利安·阿桑奇,核心管理人员有5名,致力于披露各国官方机密及极权政权的恶行,平均每天约有30份敏感文件被贴至该网站,供全球网民观看.
美国政府和军方的高度机密文件常受该网站的"垂青",其中有两起著名的泄密事件就是由该网站"首发".
目前,一些国家和企业已开始收集材料准备控告该网站,主流的新闻媒体也正密切关注该网站的动态.
4、具备无线及网络功能的未来汽车安全堪忧科技日报消息:近日,在加州举行的美国电气和电子工程师协会(IEEE)安全和隐私研讨会上,美国研究人员发表报告称具有无线功能和互联网功能的高级汽车计算机系统将可能成为黑客的攻击目标,该结论是研究人员对汽车的控制系统实施了一系列攻击测试后得出的.
研究人员指出,汽车中的每一个系统,包括引擎、刹车、供暖和冷却系统、仪表盘、灯、收音机以及门锁等都很脆弱,容易遭受黑客的攻击;在很多情况下,只需向汽车发送错误的数据包而不需要特定的控制代码,就足以让汽车不听指挥,给司机带来生命危险.
不过,研究人员也表示,要攻击汽车控制系统也并非轻而易举,黑客必须拥有高级编程能力,而且,他们也需要在汽车中找到某个物理入口,才能够"破门而入",发动攻击.
5、电脑黑客盯上智能手机,一个病毒可卖上万元大洋网消息:随着3G时代的到来,智能手机正在遭受网络犯罪的严重威胁.
活跃在电脑行业的黑客大军正大举向手机领域迁移,黑客经济正经历巨大的转型.
驱动黑客转型做手机病毒的主要原因有:1)通过移动互联畅游网络的手机网民大幅增多;2)相比电脑病毒,手机病毒的利润和利用手机病毒进行"套现"的机会都很高,一个手机插件的售价可达几千元至几万元;3)手机用户的安全防范意识较电脑用户薄弱,且能安装杀毒软件的手机极少;4)针对手机病毒的监管体系不够完善.
安全专家称,利润驱动是手机病毒越来越猖狂的主要原因,手机信息安全问题不容忽视.
6、六一端午双节临门,团购网站遭木马围攻中新网消息:六一儿童节和端午节的双节临门,促发了新一轮的网购高峰.
据360安全卫士恶意网址监测数据显示,仅5月27日,就有30余家相关网站、上千网页被入侵挂马,时下如火如荼的团购网站成为此次挂马风潮中最大的牺牲品.
由于团购网站能在短时间内凝聚超高人气,未来一周的挂马趋势将持续走高,网民上网时要做好防护措施,以免网银等帐号失窃.
7、Mozilla网页仿冒新方法:标签绑架7Raskin个人博客消息:MozillaFirefox浏览器的界面及创意负责人AzaRaskin最近发现了一个新的网页仿冒手法,他将之称为标签绑架(tabnapping).
AzaRaskin发现用户虽然对网页仿冒已经有了一定的警惕性,但用户往往仅对第一次打开的网页进行网页仿冒方面的检查,比如检查URL、网页内容等.
新的攻击方法"标签绑架"则利用浏览器的Tab页功能,首先将用户引到正常的页面,但当用户切换到其他Tab页进行浏览后,则通过脚本程序偷偷将正常网页替换成仿冒网页.
Raskin直接以其个人博客展示了这项攻击手法,假设使用者同时开启多个网页标签,其中一个是Raskin的博客,当用户点选了其他标签、暂时离开该博客,几秒钟后该博客的标签就会变成Gmail,并呈现未登入状态以诱导用户输入用户名和密码.
业界动态8、"迪卡玟"特大境外色情网站联盟案在江苏一审宣判新华网消息:由江苏警方侦破的境外三大中文色情网站联盟之一的"迪卡玟"联盟案,近日在江苏省泗洪县法院一审宣判,申强等12名被告人分别被以传播淫秽物品牟利罪和传播淫秽物品罪判处11年6个月到11个月不等的有期徒刑.
经查,被告人申强自2007年起先后在美国租用14台服务器,在网上搭建有"迷失少女天堂"、"幼香阁"等13个色情网站的"迪卡玟"联盟,在境内雇用300余人担任这些网站版主以上管理人员,联盟注册会员超过1000万人次,拥有VIP用户1万余名,接受会员汇款71万余元.
8关于国家互联网应急中心(CNCERT)国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心(英文简称是CNCERT或CNCERT/CC)成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心和应急中心,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置;国家互联网应急中心在我国大陆31个省、自治区、直辖市设有分中心.
联系我们如果您对CNCERT《网络安全信息与动态周报》有何意见或建议,欢迎与我们的编辑交流.
本期编辑:刘立伟网址:www.
cert.
org.
cnEmail:cncert_report@cert.
org.
cn电话:010-82990125