当前位置: 财神彩票聊天报码室 - 检测评估 - 安徽省信息安全测评中心 - 漏洞通报
发表日期:2010年8月8日 编辑:admin 有7168位读者读过此文 【字体:
本周网络安全基本态势(7月19日-7月25日)
本周互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为8.6万个,与前一周环比下降5%;境内被僵尸网络控制的主机IP地址数目约为1.4万个,环比增长44%;境内被篡改政府网站数量为59个,环比下降34%;新增信息安全漏洞46个,环比下降29%,其中高危漏洞14个, 比上周减少2个。

  一、本周被篡改政府网站情况

  根据CNCERT监测数据,本周境内被篡改政府网站数量为59个,较上周有所下降,截至7月26日12时仍未恢复的被篡改政府部门网站如下表所示。其中,安徽省某厅级部门网站近期被多次篡改,应引起注意。

被篡改页面URL

所属部门或地区

http://gcjs.ahjt.gov.cn/default.asp

安徽省

http://shangbao.ahjt.gov.cn/default.asp

安徽省

http://ahbidding.gov.cn/help.asp

安徽省

http://www.heblp.gov.cn/index.asp

河北省

http://aqsj.gov.cn/index.htm

安徽省安庆市

http://czqs.gov.cn/default.asp

安徽省滁州市

http://oa.hbhbj.gov.cn/default.asp

安徽省淮北市

http://nckj.fcgkj.gov.cn/index.htm

广西自治区防城港市

http://www.hcrsj.gov.cn/agresif.htm

广西自治区河池市

http://cz.yindu.gov.cn/index.htm

河南省安阳市

http://fzyj.yindu.gov.cn/index.htm

河南省安阳市

http://jjxx.yindu.gov.cn/index.htm

河南省安阳市

http://rs.yindu.gov.cn/index.htm

河南省安阳市

http://www.gyrc.gov.cn/youyue.txt

河南省巩义市

http://www.pdsdj.gov.cn/uploadfiles/z.t.html

河南省平顶山市

http://sms.xinmi.gov.cn/index.htm

河南省新密市

http://www.hljms.gov.cn/indonesia.txt

黑龙江省密山市

http://www.syskj.gov.cn

湖北省邵阳市

http://vod.jianghan-edu.gov.cn/index.htm

湖北省武汉市

http://xfsw.gov.cn/test.asp

湖北省襄樊市

http://zjj315.gov.cn/default.asp

湖南省张家界市

http://www.syah.gov.cn/default.asp

辽宁省沈阳市

http://www.htfda.gov.cn/indonesia.txt

内蒙古自治区呼和浩特市

http://naimanqi.gov.cn/default.asp

内蒙古自治区通辽市

http://dsb.laiwu.gov.cn

山东省莱芜市

http://jyj.laixi.gov.cn/default.asp

山东省莱西市

http://www.cdjustice.chengdu.gov.cn/index.htm

四川省成都市

http://djyagri.djy.gov.cn

四川省都江堰市

http://www.pzhhb.gov.cn/upload/2010720796.asp

四川省攀枝花市

http://qlsw.gov.cn/index.htm

四川省邛崃市

http://www.snsghhjsj.gov.cn/agresif.htm

四川省遂宁市


  注:CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。

  二、本周活跃恶意代码及相关事件的处置情况

  1、本周活跃恶意代码

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,用于下载更多木马或病毒文件到用户受控主机的下载者木马较为活跃。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件。此外,不要轻易打开网络上来源不明的图片、音乐、视频等文件。

名称

特点

Trojan.DL.Giframe.a

这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。

Trojan.DL.PicFrame.a

这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Trojan.DL.Script.VBS.Mnless.e

这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。

Hack.Exploit.Script.JS.Agent.ju

该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。

Trojan.Win32.FakeMS.xr

         这是一个可仿造微软版本信息,并通过下载器下载更新的病毒。该病毒能隐藏自身,并从后台访问特定恶意网站下载更多病毒。

  
  注:根据瑞星、金山等企业报送的恶意代码信息整理。

  2、本周活跃恶意域名分析

  本周, ANVA重点关注以下四组较为活跃但规模略小的恶意域名:1) 注册在.rr.nu域上的动态域名,经跟踪发现该组域名与上周公布的.isgre.at域上的大量恶意域名存在关联关系;2)注册在.vu.cx域上,以171端口为服务端口,多用于构建漏洞触发页面以及恶意代码下载服务器的域名;3)注册在to.9966.org和go.3322.org域上的动态域名,黑客在注册go.3322.org域上的域名时,通过加入数字前缀形成了一个不断变换的恶意域名组;4)注册在.mc12txt.com域上,以22541端口为服务端口,多用于构建恶意代码下载服务器的动态域名。此外,上周公布的一些恶意域名组在本周仍旧比较活跃,黑客或挂马集团继续通过更换域名的方式逃避互联网安全监管机构及域名注册、管理机构的打击。

组别

域名列表

第一组

zdd.rr.nuzdg.rr.nuzdi.rr.nuzdq.rr.nuzeb.rr.nu

第二组

ad1.alimama.vu.cxad2.alimama.vu.cxad3.alimama.vu.cxad4.alimama.vu.cxad5.alimama.vu.cx

第三组

aisile.to.9966.orgbay.go.3322.orggyk.go.3322.orghack158.go.3322.orghanxwl.go.3322.orgqoooot.go.3322.org78092338785.go.3322.orgyuan147.go.3322.org

第四组

1.mc12txt.com2.mc12txt.com3.mc12txt.com……11.mc12txt.com


  注:根据微软、中国科技网、奇虎、知道创宇、启明星辰、安天、东软、安信华等单位报送的网页挂马信息整理。

  3、恶意代码相关事件的处置情况

  (1)本周恶意域名处理情况

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在希网、万网、新网等域名注册服务机构的配合和支持下,对60个在中国大陆注册的、传播网络病毒的恶意域名采取了暂停域名解析服务的处置措施。详细列表如下所示。

处置域名列表

处置原因

nokiab.comsmxx.zjhyedu.cncaoliushequ1.3322.orgtaiping0705.3322.orgasdffdgf.9966.orggall83.3322.orggall83.3322.orgllk02kha.9966.orgnnjmb.9966.orgooisa114a.9966.orgghpgry.2288.orgzq000004.3322.orgwbrvra.6600.orgwwwvai.6600.orgarl.2288.org 3322atd.2288.org 3322xiaolang1234.6600.orgcome366.3322.orgcpm2.3322.orgmmmttvvv.8866.orgarv.2288.org 3322aso.2288.org 33222wdser3.3322.orgcome363.3322.orgcome367.3322.orgzq000002.3322.orgcivc.9966.orgwceceo1.3322.org78092334420.go.3322.orgfgjxfu.2288.orgoonn.2288.orgwcao.2288.org184ufkanguayak.3322.orgwm.85458.cn234ufkanguayak.3322.org239odkgujfakfs.3322.org28ufkanguayak.3322.org29ufkanguayak.3322.orgbjh1.3322.orgcf34t55.3322.orgcome371.3322.orgcome372.3322.orgcome373.3322.orgcome387.3322.orgd344rt.3322.orgdf4f4t56.3322.orgg6uu78.3322.orgjun969696.3322.orgodkgujfakfs234.3322.orgtaiping07071.3322.orgvbtfgrhty.3322.orgxcvxewew.3322.orgxin62814.3322.orgdfjrt.6600.orgfgywe.6600.orgaw423.8866.orgww366.8866.orgweb.crwye.cnweb.dakoa.cnwww.game-china.com.cn218mu.com

传播恶意代码


  (2)本周处理的典型网络病毒事件

  7月19日,ANVA收到关于传播手机病毒的恶意站点投诉,域名nokiab.com的网站包含有两个传播手机木马文件的恶意链接。攻击者通过向用户发送包含恶意链接地址的短信或彩信,诱使NOKIA智能手机用户点击该链接后在手机中自动下载、安装恶意木马程序,给用户带来手机费用被恶意扣除或个人信息泄露等安全威胁。鉴于该站点存在仿冒嫌疑,且对用户信息安全和财产安全构成威胁,ANVA协调域名注册服务机构对“nokiab.com”采取暂停解析服务的处理措施。

  注:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。

  三、重要安全漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报()。

  1、Mozilla Firefox/Thunderbird/SeaMonkey存在多个远程安全漏洞

  Mozilla Firefox/Thunderbird/SeaMonkey是Mozilla开发的WEB浏览器、邮件和新闻组客户端软件。该三款产品存在多个安全漏洞,可被攻击者利用于拒绝服务攻击、执行特定代码、提升权限、获取敏感信息等恶意活动。目前Mozilla已经发布更新程序以修复上述安全漏洞,建议相关用户尽快下载更新。

  2、海海软件PDFReaderOCX ActiveX控件存在"URL"属性缓冲区溢出漏洞

  海海软件PDF阅读器是一款免费的阅读器软件。海海软件PDF阅读器所安装的PDFReaderOCX ActiveX控件未正确验证URL属性参数,当用户受骗访问了恶意网页并在文件名中提供了超过2048字节的超长字符串时,便可能触发栈溢出,导致执行特定代码。目前厂商尚未发布补丁或更新程序,请相关用户继续关注厂商主页以获取修补方案。

  3、Cisco CDS Internet Streamer存在目录遍历漏洞

  Cisco Content Delivery System是思科公司开发的内容分发系统解决方案。Cisco CDS所捆绑的Cisco Internet Streamer存在目录遍历漏洞,攻击者可通过使用特制的URL来利用这个漏洞,从Web Server文档目录外读取设备上包括用于保护管理员账号详细信息和系统日志的口令文件在内的任意文件。目前Cisco Content Delivery System 2.5.7已经修复了该安全漏洞,建议相关用户尽快下载使用。

  4、HP OpenView网络节点管理器存在多个安全漏洞

  HP OpenView 网络节点管理器是一款惠普公司开发的网络管理系统软件。HP OpenView 网络节点管理器存在多个安全漏洞,允许攻击者进行缓冲区溢出攻击,以应用程序权限执行特定代码。目前惠普已经发布相应的升级补丁,建议相关用户尽快下载使用。

  5、Microsoft DirectX DirectPlay存在拒绝服务漏洞

  DirectPlay8 (DP8)是Microsoft DirectX中的网络协议实现,用于多个游戏和小型服务程序。Microsoft DirectX存在多个安全漏洞,允许攻击者执行拒绝服务攻击。目前微软尚未发布补丁或更新程序修复上述漏洞,建议相关用户继续关注厂商主页以获取修补方案。

  小结:本周CNVD收集的漏洞信息中,海海软件和Microsoft DirectX的漏洞尚未发布补丁或更新程序,请广大用户紧密关注厂商主页以获取修补方案。Mozilla的WEB浏览器、邮件和新闻组客户端,Cisco的内容分发系统和HP的OpenView 网络节点管理器均曝出漏洞,并可被攻击者利用实施远程或本地网络攻击,对国内用户的信息安全和互联网网络安全环境均构成严重威胁,请使用以上软件的相关机构和个人及时采取安全防范措施。

  注:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。


相关专题:

相关信息:
 没有相关信息

相关评论:
 没有相关评论
 
  发表、查看更多关于该信息的评论 将本信息发给好友 打印本页
 
 

  
单位地址: 中国安徽合肥市大西门赵岗路12号(琥珀山庄南入口处)
电话: 0551-62810945 62824812 转8106 传真: 0551-62816393
网站新闻投稿箱: [email protected] § §