一、本周網(wǎng)絡(luò)安全基本態(tài)勢1的主機(jī)數(shù)約為196.7萬個(gè)，同種類網(wǎng)絡(luò)病毒感染量2較上周環(huán)比增加了約4.2；無新增網(wǎng)絡(luò)病毒家族；境內(nèi)被篡改政府網(wǎng)站數(shù)量為66個(gè)，環(huán)比大幅上升了約1.1倍；新增信息安全漏洞11

一、本周網(wǎng)絡(luò)安全基本態(tài)勢

1的主機(jī)數(shù)約為196.7萬個(gè)，同種類網(wǎng)絡(luò)病毒感染量2較上周環(huán)比增加了約4.2；無新增網(wǎng)絡(luò)病毒家族；境內(nèi)被篡改政府網(wǎng)站數(shù)量為66個(gè)，環(huán)比大幅上升了約1.1倍；新增信息安全漏洞111個(gè)，較上周新增數(shù)量減少了約30.6，但其中新增高危漏洞46個(gè)，較上周新增數(shù)量增加了約2.2。

本周網(wǎng)絡(luò)病毒活動(dòng)情況

1、網(wǎng)絡(luò)病毒監(jiān)測情況

本周境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)約為196.7萬個(gè)，同種類網(wǎng)絡(luò)病毒感染量較上周環(huán)比上升了約4.2。其中，境內(nèi)被木馬或被僵尸程序控制的主機(jī)約為23.5萬個(gè)，同種類木馬或僵尸程序感染量環(huán)比減少了約1.5；境內(nèi)感染飛客（Conficker ）蠕蟲的主機(jī)約為173.2萬個(gè)，環(huán)比上升約4.6。

木馬或僵尸程序受控主機(jī)在我國大陸的分布情況如下圖所示，其中紅色區(qū)域是木馬和僵尸程序感染量最多的地區(qū)，排名前三位的分別是廣東省約3.2萬個(gè)（約占中國大陸總感染量的13.8）、浙江省約1.9萬個(gè)（約占中國大陸總感染量的8）和江蘇省約1.6萬個(gè)（約占中國大陸總感染量的7）。

注1：一般情況下，惡意代碼是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。其中，網(wǎng)絡(luò)病毒是特指有網(wǎng)絡(luò)通信行為的惡意代碼。

注2：本周調(diào)整了網(wǎng)絡(luò)病毒中木馬和僵尸程序的監(jiān)測范圍，其中木馬總數(shù)由271種增加到346種，而僵尸程序

2、TOP5活躍網(wǎng)絡(luò)病毒

本周，中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANV A ）3整理發(fā)布的活躍網(wǎng)絡(luò)病毒4如下表所示。其中，利用網(wǎng)頁掛馬或捆綁下載進(jìn)行傳播的網(wǎng)絡(luò)病毒所占比例較高，病毒仍多以利用系統(tǒng)漏洞的方式對(duì)系統(tǒng)進(jìn)行攻擊。ANV A 提醒互聯(lián)網(wǎng)用戶一方面要加強(qiáng)系統(tǒng)漏洞的修補(bǔ)加固，安裝具有主動(dòng)防御功能的安全軟件，開啟各項(xiàng)監(jiān)控，并及時(shí)更新；另一方面，建議互聯(lián)網(wǎng)用戶使用正版的操作系統(tǒng)和應(yīng)用軟件，不要輕易打開網(wǎng)絡(luò)上來源不明的圖片、音樂、視頻等文件，不要下載和安裝一些來歷不明的軟件，特別是一些所謂的外掛程序。

注3：中國反網(wǎng)絡(luò)病毒聯(lián)盟（Anti Network-Virus Alliance of China，縮寫ANV A ）是由中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)發(fā)起、CNCERT 具體組織運(yùn)作的行業(yè)聯(lián)盟。反網(wǎng)絡(luò)病毒聯(lián)盟依托CNCERT 的技術(shù)和資源優(yōu)勢，通過社會(huì)化機(jī)制組織開展互聯(lián)網(wǎng)網(wǎng)絡(luò)病毒防范、治理相關(guān)的信息收集發(fā)布、技術(shù)研發(fā)交流、宣傳教育、聯(lián)合打擊等工作，并面向社會(huì)提供信息咨詢、技術(shù)支持等服務(wù)，以凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，提升互聯(lián)網(wǎng)網(wǎng)絡(luò)安全水平。

3、網(wǎng)絡(luò)病毒捕獲和傳播情況

本周，CNCERT 捕獲了大量新增網(wǎng)絡(luò)病毒文件，其中按網(wǎng)絡(luò)病毒名稱統(tǒng)計(jì)新增144個(gè)，較上周新增數(shù)量增加了約34.6；按網(wǎng)絡(luò)病毒家族7統(tǒng)計(jì)無新增。

網(wǎng)絡(luò)病毒主要對(duì)一些防護(hù)比較薄弱或者訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進(jìn)行傳播。當(dāng)存在安全漏洞的用戶主機(jī)訪問了這些被黑客掛馬的網(wǎng)站后，會(huì)經(jīng)過多級(jí)跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點(diǎn)下載網(wǎng)絡(luò)病毒。本周，CNCERT 監(jiān)測發(fā)現(xiàn)排名前十的活躍放馬站點(diǎn)域名和活躍放馬站點(diǎn)IP 分別如下兩表所示。

5

6

注5：網(wǎng)絡(luò)病毒文件是網(wǎng)絡(luò)病毒的載體，包括可執(zhí)行文件、動(dòng)態(tài)鏈接庫文件等，每個(gè)文件都可以用哈希值唯一

標(biāo)識(shí)。

注6：網(wǎng)絡(luò)病毒名稱是通過網(wǎng)絡(luò)病毒行為、源代碼編譯關(guān)系等方法確定的具有相同功能的網(wǎng)絡(luò)病毒命名，完整的命名一般包括：分類、家族名和變種號(hào)。一般而言，大量不同的網(wǎng)絡(luò)病毒文件會(huì)對(duì)應(yīng)同一個(gè)網(wǎng)絡(luò)病毒名稱。 注7：網(wǎng)絡(luò)病毒家族是具有代碼同源關(guān)系或行為相似性的網(wǎng)絡(luò)病毒文件集合的統(tǒng)稱，每個(gè)網(wǎng)絡(luò)病毒家族一般包

網(wǎng)絡(luò)病毒在傳播過程中，往往需要利用黑客注冊的大量域名。本周，CNCERT 監(jiān)測發(fā)現(xiàn)的放馬站點(diǎn)中，通過域名訪問的共涉及有347個(gè)域名，通過IP 直接訪問的共涉及有74個(gè)IP 。在347放馬站點(diǎn)域名中，于境內(nèi)注冊的域名數(shù)為108個(gè)（約占31.1），于境外注冊的域名數(shù)為234個(gè)（約占67.4），未知注冊商所屬境內(nèi)外信息的有5個(gè)（約占1.4）。下圖為這些放馬站點(diǎn)域名按所屬頂級(jí)域的分布情況，排名前三位的是.com （約占41.8）、.info （約占20.5）、.cn （約占9.8

）。

此外，通信行業(yè)互聯(lián)網(wǎng)信息通報(bào)成員單位向CNCERT 共報(bào)送了1893個(gè)惡意域名或IP(去重后

) ，各單位報(bào)送數(shù)量統(tǒng)計(jì)如下圖所示。

針對(duì)CNCERT 自主監(jiān)測發(fā)現(xiàn)以及各單位報(bào)送數(shù)據(jù)，CNCERT 積極協(xié)調(diào)域名注冊機(jī)構(gòu)等進(jìn)行處置(參見本周事件處理情況部分) ，同時(shí)通過ANV A 在其官方網(wǎng)站上發(fā)布惡意地址黑名單(詳細(xì)黑名單請(qǐng)參見：http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92) 。請(qǐng)各網(wǎng)站管理機(jī)構(gòu)注意檢查網(wǎng)站頁面中是否被嵌入列入惡意地址黑名單的URL ，并及時(shí)修補(bǔ)漏洞，加強(qiáng)網(wǎng)站的安全防護(hù)水平，不要無意中成為傳播網(wǎng)絡(luò)病毒的“幫兇”。

本周網(wǎng)站安全情況8

根據(jù)CNCERT 監(jiān)測數(shù)據(jù)，本周境內(nèi)被篡改網(wǎng)站數(shù)量為666個(gè)，較上周數(shù)量環(huán)比上升了約48.7。境內(nèi)被篡改網(wǎng)站數(shù)量按類型分布情況如下圖所示，數(shù)量最多的仍是.com 和.com.cn 域名類網(wǎng)站。其中，.gov.cn 域名類網(wǎng)站有66個(gè)（占境內(nèi)9.9），環(huán)比大幅增加了約

1.1倍。

本周監(jiān)測發(fā)現(xiàn)并協(xié)調(diào)處理的部分被篡改政府網(wǎng)站（網(wǎng)站所屬機(jī)構(gòu)標(biāo)為省、市、區(qū)單位的gov.cn ）的列表如下，其中是否恢復(fù)是截止到4月1日17時(shí)前的驗(yàn)證結(jié)果。

注8：政府網(wǎng)站是指英文域名以“.gov.cn ”結(jié)尾的網(wǎng)站，但不排除個(gè)別非政府部門也使用“.gov.cn ”的情況。表

根據(jù)通信行業(yè)各互聯(lián)網(wǎng)信息通報(bào)成員單位報(bào)送數(shù)據(jù)，本周共發(fā)現(xiàn)境內(nèi)被掛馬網(wǎng)站數(shù)量為350個(gè)（去重后），較上周數(shù)量環(huán)比增加了約19。其中，.gov.cn 域名類網(wǎng)站有46個(gè)（約占境內(nèi)13.1），較上周環(huán)比增加了約9.5。各單位報(bào)送數(shù)量如下圖所示。

截至4月1日17時(shí)，仍存在被掛馬或被植入不正當(dāng)廣告鏈接（如：網(wǎng)絡(luò)游戲、色情網(wǎng)站鏈接）的政府網(wǎng)站如下表所示。

本周事件處理情況

1、 本周處理各類事件數(shù)量

對(duì)國內(nèi)外通過電子郵件、熱線電話、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件，以及自主監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，CNCERT 根據(jù)事件的影響范圍和存活性、涉及用戶的性質(zhì)等因素，篩選重要事件進(jìn)行協(xié)調(diào)處理。

本周，CNCERT 通過與基礎(chǔ)電信運(yùn)營商、域名注冊服務(wù)機(jī)構(gòu)的合作機(jī)制，以及反網(wǎng)絡(luò)病毒聯(lián)盟（ANV A ）的工作機(jī)制，共協(xié)調(diào)處理了270起網(wǎng)絡(luò)安全事件。 2、 本周惡意域名和惡意服務(wù)器處理情況

依據(jù)《中國互聯(lián)網(wǎng)域名管理辦法》和《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機(jī)制》等相關(guān)法律法規(guī)的規(guī)定，本周ANV A 在中國電信等基礎(chǔ)電信運(yùn)營企業(yè)以及電商互聯(lián)、東南融通、花生殼、江蘇邦寧、上海有孚、萬網(wǎng)、希網(wǎng)、新網(wǎng)互聯(lián)、新網(wǎng)數(shù)碼等域名注冊服務(wù)機(jī)構(gòu)的配合和支持下，并通過與境外域名注冊商和國際安全組織的協(xié)作機(jī)制，對(duì)174個(gè)境內(nèi)外參與傳播網(wǎng)絡(luò)病毒或仿冒網(wǎng)站的惡意域名或服務(wù)器主機(jī)IP 采取了處置措施。詳細(xì)列表如下所示。

處置原因 傳播惡意代碼

處置域名列表

bincgidns.com 、cnmxxo.3322.org 、crr.1ic2.com 、xiazai.jfzly.com 、 data.92taojin.com 、down.92taojin.com 、facersmasters.com 、

處置服務(wù)器列表9 218.94.93.*

注9：CNCERT 不公開服務(wù)器的具體IP, 其中*代表數(shù)字0-255，可能會(huì)出現(xiàn)同一C 段的多個(gè)IP 使用相同的表示

ff.asdfe12314.com 、fromamericawhichlov.com 、

kugoo1.3322.org 、kugou1.3322.org 、kugou2.3322.org 、

kugou3.3322.org 、kugou5.3322.org 、malborofrientro.com 、 sogouaa.2288.org 、union.cpa521.com 、update.woai310.com 、 win.ibmupdate.com 、www.lb.fen78.com 、www.lcz188.com 、 www.mlu2008.com 、www.shyc119.com 、youyearyound.com 54984684.68544888.in 、bac.netc.hnt.aminy.inanl.kxflcc.tk 、 boc-comkj98016.imbbs.in 、boc-comkl9801e.vicp.cc 、

boc-comlk9083.imbbs.in 、boc-comnj86y.imbbs.in 、

cao51gegd11d.net 、cao51gegd11d.net 、cem6jgxddfcswns.tk 、 cem6jgxddfhsjhwngs.tk 、consignment.5173.com.gdfd.usa.cc 、 df8d8ff8d9vf.tk 、ebs.boc.cn.ocetclifent.prodsropg.ytcsd.ibiz.cc 、 emnxczsdf.minxzcs.cu.cc 、fdadstaobaorf.tk 、ferewewewe3q.tk 、 fg.myfw.us 、gd.myfw.us 、huahai8.com 、icbo.shoho.hotl.usa.cc 、 icbo.shop.lnter.usa.cc 、icbo.shop.lnurt.usa.cc 、www.sqmmspq.tk 、 icbo.shop.lnutce.igg.biz 、icbo.shop.loreta.usa.cc 、ioiaosdv.tk 、

仿冒農(nóng)業(yè)銀行 item.baotao.com.gftra-sr0et.tk 、item.taobao.com.dtre-s10xs.tk 、

item.taobao.com.rdar-va10s.tk 、item.taobeo.com.loreta.usa.cc 、 itemtaobaocon.tk 、iten.taobao.com.gwqvae.linkpc.net 、

iwhduhdtgy.tk 、mrbankicbc.brtast.tk 、mrbankicbc.brteai.cu.cc 、 mrbankicbc.scersfv.cu.cc 、pack.ieicuj.co.cc 、reicatr.7766.org 、 rereerwfergbvvf.tk 、sass.cu.cc 、semmmmmm.eicp.net 、

shipinwana.cu.cc 、shop16.8800.org 、shuka.linkpc.net 、

tao.cao51gegd11d.net 、tao1dgeiianyue.net 、uopewr4.2288.org 、 uuaisdlkca.tk 、vz.myfw.us 、wd15sngh88.tk 、www.18by.info 、 www.adc-hina.com 、www.fonvdh.tk 、www.seqiqi.usa.cc 、

www.seseji65.usa.cc 、www.tem.taobao.com.778511201000.igg.biz kjcca.2288.org 、17315pt.com 、58huanyu.com 、6872danbao.com 、 963741.tk 、b2c.icbc.com.cn.qncyc.com 、bpay.fr.ms 、

bac.netc.hnt.aminy.inanl.kxflcc.tk 、chengxiniin.co.cc 、

ems-buy.com 、hc2w.8866.org 、huazhongdb.com 、ioiaosdv.tk 、 item.taobao.com.rdar-va10s.tk 、item.taobeo.com.loreta.usa.cc 、 iten.taobao.yjsb800.com 、itme.taobao.com.ooajienf.linkpc.net 、

ltam.tccboo.ccn.aion.igg.biz 、luolk.3322.org 、mrbankicbc.brtast.tk 、 tao1dgeiianyue.net 、vaca.8800.org 、www.138td.tk 、www.188td.tk 、

仿冒工商銀行 www.51changuu.com 、www.5888db.com 、www.5911danbao.com 、

www.5955danbao.com 、www.5988danbao.com 、www.vb168.info 、 www.6673danbao.com 、www.6872danbao.com 、www.qitiandb.com 、 www.7768danbao.com 、www.8826danbao.com 、www.963741.tk 、 www.blchuangtong.com 、www.cfjq8.com 、www.guanjiedb.com 、 www.huazhongdb.com 、www.huimiedb.com 、www.jingchengjy.info 、 www.jiuy1o.info 、www.jqww1.3322.org 、www.junlidb.com 、

www.shengxin168.com 、www.tsuu.cn.ms 、www.weixindanbao.com 、 www.zyb2c.com

210.51.24.*、 211.86.102.*、 211.94.187.*、 218.61.38.*、 59.53.92.*、 61.50.158.*

本周重要安全漏洞

本周，國家信息安全漏洞共享平臺(tái)（CNVD ）10整理和發(fā)布以下重要安全漏洞，詳細(xì)的漏洞信息請(qǐng)參見CNVD 漏洞周報(bào)（www.cnvd.org.cn/reports/list）。

1、Cisco IOS安全漏洞

Cisco IOS（全稱為Internetwork Operating System）是一款用于思科公司網(wǎng)絡(luò)設(shè)備產(chǎn)品的操作系統(tǒng)。本周，Cisco IOS 被披露存在多個(gè)安全漏洞，攻擊者可以對(duì)任意監(jiān)聽的UDP 端口進(jìn)行攻擊，或通過會(huì)話繞過授權(quán)執(zhí)行任意命令，或利用漏洞進(jìn)行拒絕服務(wù)攻擊。CNVD 收錄的相關(guān)漏洞包括：Cisco Internet 密鑰交換（IKE ）遠(yuǎn)程拒絕服務(wù)漏洞、Cisco IOS授權(quán)安全繞過漏洞、Cisco IOS RSVP 功能遠(yuǎn)程拒絕服務(wù)漏洞、Cisco IOS MACE 拒絕服務(wù)漏洞（CNVD-2012-10941）、Cisco IOS 基于區(qū)域的防火墻遠(yuǎn)程拒絕服務(wù)漏洞（CNVD-2012-10951）、Cisco IOS 組播源發(fā)現(xiàn)協(xié)議遠(yuǎn)程拒絕服務(wù)漏洞、Cisco IOS Smart Install 遠(yuǎn)程拒絕服務(wù)漏洞、Cisco IOS NAT 功能SIP 遠(yuǎn)程拒絕服務(wù)漏洞。上述漏洞的綜合評(píng)級(jí)均為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

2、 Opera Web Browser安全漏洞

Opera 是一款開源的WEB 瀏覽器。本周，Opera Web Browser 被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞繞過跨域策略限制，竊取敏感信息。CNVD 收錄的相關(guān)漏洞包括：Opera Web Browser 存在多個(gè)漏洞（CNVD-2012-10909、CNVD-2012-10910、CNVD-2012-10911、CNVD-2012-10914、CNVD-2012-10913）。其中，“Opera Web Browser 漏洞（CNVD-2012-10909）”和“Opera Web Browser 漏洞（CNVD-2012-10910）”的綜合評(píng)注10：CNVD 是CNCERT 聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫，致力于建立國家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)

級(jí)為“高危”。目前，Opera Software已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

3、Wireshark 安全漏洞

Wireshark 是一款開源的網(wǎng)絡(luò)協(xié)議分析工具。本周，Wireshark 被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞發(fā)起拒絕服務(wù)攻擊。CNVD 收錄的相關(guān)漏洞包括：Wireshark 'call_dissector()'空指針引用拒絕服務(wù)漏洞、Wireshark 'ERF' 數(shù)據(jù)拒絕服務(wù)漏洞、Wireshark IEEE 802.11解析器無限循環(huán)拒絕服務(wù)漏洞、Wireshark MP2T 解析器拒絕服務(wù)漏洞。除“Wireshark IEEE 802.11解析器無限循環(huán)拒絕服務(wù)漏洞”之外，其余漏洞的綜合評(píng)級(jí)均為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

4、HP 產(chǎn)品安全漏洞

HP Performance Manager 是一款監(jiān)視服務(wù)器、客戶端性能的應(yīng)用軟件；HP-UX （全稱為Hewlett Packard UniX）是一款用于惠普公司服務(wù)器產(chǎn)品的操作系統(tǒng)。本周，上述HP 產(chǎn)品被披露存在多個(gè)漏洞，未授權(quán)的攻擊者可以利用漏洞竊取敏感數(shù)據(jù)或執(zhí)行任意代碼。CNVD 收錄的相關(guān)漏洞包括：HP Performance Manager存在未明遠(yuǎn)程代碼執(zhí)行漏洞、HP-UX WBEM 本地未授權(quán)訪問漏洞、HP-UX WBEM遠(yuǎn)程未授權(quán)訪問漏洞。其中，“HP Performance Manager 存在未明遠(yuǎn)程代碼執(zhí)行漏洞”的綜合評(píng)級(jí)均為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

5、D-Link DCS-5605 PTZ ActiveX控件'SelectDirectory()'方法緩沖區(qū)溢出漏洞

D-Link DCS-5605是一款用于遠(yuǎn)程監(jiān)控的網(wǎng)絡(luò)設(shè)備。本周，該產(chǎn)品被披露存在一個(gè)緩沖區(qū)溢出漏洞。由于用戶在瀏覽設(shè)備WEB 接口時(shí)，會(huì)被要求安裝Active 控件以查看視頻流內(nèi)容，但控件包含DcsCliCtrl.dll 使用了不安全的SelectDirectory()函數(shù)和lstrcpyW()函數(shù)，導(dǎo)致提交畸型參數(shù)時(shí)會(huì)觸發(fā)棧緩沖區(qū)溢出。目前，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)針對(duì)該漏洞的攻擊代碼，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序，CNVD 提醒廣大用戶隨時(shí)關(guān)注廠商主頁以獲取最新版本。

更多高危漏洞見下表所示，詳細(xì)信息可根據(jù)CNVD 編號(hào)，在CNVD 官網(wǎng)（www.cnvd.org.cn ）進(jìn)行查詢。