网络安全信息与动态周报

.net 6.4%
.cn 11.4%
针对 CNCERT 自主监测发现以及各单位报送数据，CNCERT 积极协调域名注册机构等进行处理，同时 通过 ANVA 在其官方网站上发布恶意地址黑名单。
2
ANVA恶意地址黑名单发布地址
http://www.anva.org.cn/virusAddress/listBlack
等支付交易类仿冒事件 2 起。
本周CNCERT处理网页仿冒事件数量 按仿冒对象涉及行业统计(3/4-3/10)
74
本周CNCERT协调境内域名注册机构处理 网页仿冒事件数量排名 (3/4-3/10)
14 11
金融类
14 2
媒体传播类 支付交易类
4
2
1
本周，CNCERT 协调 1 家非经营性互联单位、6 家境内域名注册机构及 6 家手机应用商店开展恶意代码 处理工作，共处理传播恶意代码的域名 22 个，传播移动互联网恶意代码的恶意 URL 链接 3225 个。
• 927
新增信息安全漏洞数量 其中高危漏洞数量
• 113 • 30
5.6%
1.6% 24.9% 7.9% 5.8%
11.2%
31.5% 36.2%
表示数量与上周相同
表示数量较上周环比增加
表示数量较上周环比减少
本周网络病毒活动情况
本周境内感染网络病毒的
主机数量约为 138.4 万个，其中 木马或僵尸程序
境内被篡改网站 境内被植入后门网站
6508
2092 个；针对境内网站的仿冒
页面数量为 927 个。
针对境内网站的仿冒页面
2092 927
5.8% 11.2%
1.6%
本周境内被篡改政府网站(GOV 类)数量为 616 个（约占境内 9.5%），较上周环比上升了 24.9%；境内被 植入后门的政府网站(GOV 类)数量为 97 个（约占境内 4.6%），较上周环比减少了 5.8%；针对境内网站的仿 冒页面涉及域名 605 个，IP 地址 310 个，平均每个 IP 地址承载了约 3 个仿冒页面。
本周我国境内被篡改网站按类型分布 (3/4-3/10)
COM 69.0%
本周我国境内被植入后门网站按类型分布 (3/4-3/10)
其他 27.2%
COM 50.7%
其他 BIZ EDU 12.9% 0.1% 0.4%
ORG 2.1%
ORG 1.9%
GOV 9.5%
NET 6.2%
EDU 2.8%
GOV 4.6%
包括境内被木马或被僵尸程序
43.4万
控制的主机约 43.4 万以及境内 感染飞客（conficker）蠕虫的主 机约 95 万。
飞客蠕虫
95万
22.4%
0.7% 1
木马或僵尸程序受控主机在我国大陆 的分布情况如左图所示，其中红色区域是木 马和僵尸程序感染量最多的地区，排名前三 位的分别是广东省、江苏省和浙江省。
6
程，甚至遭遇盗号情况，应立即下载安全软件全盘扫描查杀，以免电脑被木马长期潜伏，造成更严重的损失。 5、 谨防漏洞利用程序感染导致信息被窃
中国日报 3 月 7 日消息 近日，卡巴斯基实验室检测到一种命名为 Exploit.SWF.CVE-2013-0634 的漏洞利用 程序。这是一个 CVE-2013-0634 漏洞利用程序。CVE-2013-0634 漏洞是 Adobe Flash Player 中的一个漏洞，黑客 通过构造的 swf 文件利用此漏洞后可以执行任意代码。通常黑客会先选择要攻击的用户，制作一个含有用户感 兴趣信息的 word 文档，并在 word 文档中嵌入恶意 swf 文件，然后将此 word 文档发送给用户并欺骗用户打开。 如果用户打开此 word 文档，漏洞利用程序就会被触发。漏洞被成功利用后会加载运行一个 DLL，此 DLL 又会 向临时文件夹释放一个名为 SECCENTER.XXX 的 EXE 文件并创建进程将其运行。SECCENTER.XXX 运行后会 连接其命令控制服务器 i**e.bo**ng-job.com，使得用户计算机被黑客控制。黑客可以窃取计算机中的机密信息 或向计算机中安装其它恶意程序。卡巴斯基实验室要提醒广大的用户保持好计算机及所安装应用的更新，避免 自己的计算机被黑客利用，给自己和他人造成困扰。 6、HTML5 最新漏洞：用户硬盘或被垃圾数据塞满
腾讯网 3 月 7 日消息 据国外媒体报道，雅虎邮箱用户近日继续遭到黑客攻击，雅虎邮箱安全问题依旧没有 得到有效解决。这些受攻击的雅虎邮箱用户往往收到了来自朋友或同事（有时是完全不认识的人）的一封邮件， 其中包含一个链接，如果用户点击了这个链接，其账户就会被劫持。这些邮件是黑客通过先前劫持的雅虎邮箱 大量发送的。在最近遭遇攻击的雅虎邮箱用户中，也有的用户没有收到这种邮件，或者没有点击其中的链接， 但其账户也意外遭到劫持。近两个月来，雅虎邮箱用户不断遭到黑客入侵。尽管雅虎之前曾表示，它已经修复 了至少两个安全漏洞，但问题看起来仍然存在。 4、木马入侵动漫网站 大量动漫迷电脑遇袭
本周事件处理情况
本周，CNCERT 协调基础电信运营企业、域名注册服务机构、手机应用商店、各省分中心以及国际合 作组织共处理了网络安全事件 147 起，其中有跨境网络安全事件 60 起。
4
本周CNCERT处理的事件数量按类型分布 (3/4-3/10)
网页仿冒 61.2%
协调境内机构处理境
外投诉事件 3
新增网络病毒名称
33
新增网络病毒家族
1个
1
15.4%
放马站点是网络病毒传播的源头。本周，CNCERT 监测发现的放马站点共涉及域名 140 个，涉及 IP 地 址 262 个。在 140 个域名中，有约 60.7%为境外注册，且顶级域为.com 的约占 66.4%；在 262 个 IP 中，有 约 54.2%位于境内，约 45.8%位于境外。根据对放马 URL 的分析发现，大部分放马站点是通过域名访问， 而通过 IP 直接访问的涉及 98 个 IP。
新浪科技讯 北京时间 3 月 4 日早间消息，HTML5 编程语言的一个最新漏洞今天被发现，它允许网站利用 数 GB 垃圾数据对用户展开轰炸，甚至会在短时间内将硬盘塞满。多款主流浏览器均会受此影响。一位名叫菲 罗斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)的开发者率先发现了这一漏洞，他表示，多数主流网络浏览器均会受 到影响，包括苹果 Safari、谷歌 Chrome、微软 IE 和 Opera。唯一能够阻止数据大量加载的是 Mozilla 的火狐浏 览器，该产品的数据存储上限为 5MB。阿伯克哈迪杰哈发现了一个绕过数据上限的方法，它创建了多个与用户 访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况，所以二级网站也可以存储与主网站相 同量的数据。通过大批生成这种网站，该漏洞便可向受影响的电脑加载海量数据。阿伯克哈迪杰哈已经发布一 组代码来利用该漏洞，并创建了一个名为 Filldisk 的专用网站来凸显该漏洞的危害。他已经将此事报告给受影 响的浏览器开发商，但尚未发现恶意行为的大面积爆发。
操作系统 漏洞 0.9%
网络设备 漏洞 8.0%
web应用 漏洞
18.6%
本周 CNVD 发布的网络安全漏洞中，应 用程序漏洞占比最高，其次是 Web 应用漏洞 和网络设备漏洞。
更多漏洞有关的详细情况，请见 CNVD 漏洞周报。
CNVD漏洞周报发布地址 http://www.cnvd.org.cn/publish/main/47/index.html 国家信息安全漏洞共享平台(缩写 CNVD)是 CNCERT 联合国内重要信息系统单位、基础电信运营商、 网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
NET 12.6%
本周重要漏洞情况
3
本周，国家信息安全漏洞共 享平台（CNVD）新收录网络安 全漏洞 113 个，信息安全漏洞威 胁整体评价级别为低。
低危
13 中危
70
高危 30
40.9% 36.2%
27.1%
本周CNVD收录漏洞按影响对象类型分布 (3/4-3/10) 应用程序 漏洞 72.6%
中国反网络病毒联盟（Anti Network-Virus Alliance of China，缩写 ANVA）是由中国互联网协会网络与 信息安全工作委员会发起、CNCERT 具体组织运作的行业联盟。
本周网站安全情况
本周 CNCERT 监测发现境 内被篡改网站数量为 6508 个； 境内被植入后门的网站数量为
本周放马站点域名注册所属境内外分布 (3/4-3/10)
境外 60.7%
本周放马站点域名所属顶级域的分布 (3/4-3/10)
.com 66.4%
未知 15.0%
境内 24.3%
其他 1.4%
.ua 0.7% .org 0.7%
.it 1.4%
.biz .info .ru .kr 1.4% 2.1% 2.1% 5.7%
中青网 3 月 8 日消息 据外媒 3 月 7 日报道，现年 24 岁的俄罗斯美女克里斯蒂娜·斯韦琴斯卡娃竟是一个由 37 人组成的东欧黑客团伙的核心人物，她负责使用一套“特洛伊木马”程序潜入几百个中小企业和个人的网银账 户，从中套取巨额现金。据统计，她利用假护照开设了至少 5 个银行账户，用来作为转移赃款和“洗钱”的工具。 克里斯蒂娜及其同伙在 2010 年利用伪造的银行账号、密码以及“宙斯”(ZeuS)木马等，从美国多家银行窃取了 300 万美元资金，从英国的多家银行中窃取了 900 万美元资金。克里斯蒂娜充当着“钱骡”的角色，即利用假护照开 设众多银行账户，专门接收“赃款”，再从纽约的自动取款机上取出“赃款”，最后汇给幕后老板，她自己则能获 得 10%的报酬。经过两年多的漫长审理，法庭将于今年 4 月宣判，预计这位“全球最性感女黑客”将面临长达 40 年的监禁。 3、邮箱遭受黑客持续攻击 雅虎一筹莫展
光明网 3 月 6 日消息 国内网络安全厂商最新发现，国内一家高人气动漫网站近期遭黑客入侵挂马。据悉， 黑客使用了三种漏洞组合挂马，分别是 Windows 暴雷漏洞、IE 黑八漏洞，以及 FlashPlayer 插件漏洞，并专门 针对 IE 内核浏览器触发攻击。同时，该网站的播放页面全部被植入了网页木马，用户访问时如果没有开启安全 软件保护，电脑将自动感染木马。安全人员发现，该网站挂马传播的是一个木马下载者程序，它会设置为开机 自动运行，并下载一个包含 DNF、魔兽世界等 28 款热门游戏的列表，以及相应的盗号木马列表到受感染电脑 中，然后在后台监控这些游戏。如果木马检测到电脑运行了游戏列表中的某款游戏，将自动把对应的盗号木马 “搬运”进来，盗取游戏帐号和密码。对于近期访问该网站的的动漫迷，如果发现电脑异常变慢、出现不明进
本周CNCERT协调境内域名注册机构处理恶 意代码事件数量排名 (3/4-3/10)
本周CNCERT协调手机应用商店处理移动互 联网恶意代码事件数量排名 (3/4-3/10)
4
3
3
2
1
1
2510
527
126 32
28
2
5
业界新闻速递
1、 马来西亚与菲律宾围绕沙巴州冲突展开网络攻击 扬子晚报 3 月 4 日消息 据马来西亚《星报》3 月 4 日报道，马来西亚与菲律宾的黑客在刚刚过去的周末相
互实施了网络攻击。据报道，从属于“匿名者”黑客协会的马来西亚分会与菲律宾分会成员，在沙巴州冲突发生 后持续攻击对方国家的网站。马来西亚网络安全部官员称政府已充分注意到有关事态，但拒绝发表更多评论。 据称，来自菲律宾的黑客 1 月 1 日在巴州冲突发生数小时后首先发动了网络攻击。而马来西亚“匿名者”组织在 其“脸谱”主页上发布信息，用塔加拉族语宣称该组织将发动攻击。随后，菲律宾数个政府网站遭到“拒绝服务 （DoS）”攻击，另有部分政府网站遭篡改。菲律宾黑客对此进行报复，攻击并篡改了多个马来西亚政府和私人 网站。有黑客声称行动导致马来西亚数个政府网站崩溃，并在“脸谱”上公布了行动内容，同时呼吁更多人向马 来西亚实施“拒绝服务（DoS）”攻击。日前，一份据称来自“匿名者”总会的声明呼吁两国黑客停止相互攻击。但 是，这份声明并未劝退两国黑客的攻击，截至 3 月 3 日下午网络攻击仍在继续。 2、 盗取英美多家银行上千万美元俄罗斯美女黑客被宣判
网站后门
1.4% 拒绝服务 攻击 漏洞
1.4% 8.2%
ห้องสมุดไป่ตู้
恶意代码 27.9%
协调境外机构处理境 内投诉事件
57
本周，CNCERT 协调境内外域名注册机构、境外 CERT 等机构重点处理了 90 起网页仿冒投诉事件。根
据仿冒对象涉及行业划分，包含工商银行等金融类仿冒事件 74 起、央视等媒体传播类仿冒事件 14 起和淘宝
国家互联网应急中心
网络安全信息与动态周报
2013 年第 10 期 3 月 4 日-3 月 10 日
本周网络安全基本态势
优
良
中
差
危
境内感染网络病毒的主机数量
• 138.4 万
境内被篡改网站总数 其中政府网站数量
境内被植入后门网站总数 其中政府网站数量
• 6508 • 616
• 2092 • 97
针对境内网站的仿冒页面数量
广东省 江苏省 浙江省
• 约9.5万个（约占 中国大陆总感染 量的21.8%）
• 约3.1万个（约占 中国大陆总感染 量的7.1%）
• 约2.6万个（约占 中国大陆总感染 量的6%）
本周 CNCERT 捕获了大 量新增网络病毒文件，按网络 病毒名称统计新增 33 个，按 网络病毒家族统计新增 1 个。