一、本周網(wǎng)絡(luò)安全基本態(tài)勢(shì)1的主機(jī)數(shù)約為153.5萬個(gè)，較上周環(huán)比減少了約19.6；無新增網(wǎng)絡(luò)病毒家族；境內(nèi)被篡改政府網(wǎng)站數(shù)量為39個(gè)，較上周數(shù)量環(huán)比大幅下降了約51.3；新增信息安全漏洞76個(gè)，較上周

一、本周網(wǎng)絡(luò)安全基本態(tài)勢(shì)

1的主機(jī)數(shù)約為153.5萬個(gè)，較上周環(huán)比減少了約19.6；無新增網(wǎng)絡(luò)病毒家族；境內(nèi)被篡改政府網(wǎng)站數(shù)量為39個(gè)，較上周數(shù)量環(huán)比大幅下降了約51.3；新增信息安全漏洞76個(gè)，較上周新增數(shù)量減少了約43.3，其中新增高危漏洞29個(gè)，環(huán)比減少了約19.4。

本周網(wǎng)絡(luò)病毒活動(dòng)情況

1、網(wǎng)絡(luò)病毒監(jiān)測(cè)情況

本周境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)約為153.5萬個(gè)，較上周環(huán)比下降了約19.6。其中，境內(nèi)被木馬或被僵尸程序控制的主機(jī)約為44.3萬個(gè)，環(huán)比減少了約8.1；境內(nèi)感染飛客（Conficker ）蠕蟲的主機(jī)約為109.2萬個(gè)，較上周數(shù)量環(huán)比減少了約23.5。

木馬或僵尸程序受控主機(jī)在我國大陸的分布情況如下圖所示，其中紅色區(qū)域是木馬和僵尸程序感染量最多的地區(qū)，排名前三位的分別是廣東省約7萬個(gè)（約占中國大陸總感染量的15.7）、浙江省約2.9萬個(gè)（約占中國大陸總感染量的6.6）和江蘇省約2.7萬個(gè)（約占中國大陸總感染量的6.1）。

注1：一般情況下，惡意代碼是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。

2、TOP5活躍網(wǎng)絡(luò)病毒

本周，中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANV A ）2整理發(fā)布的活躍網(wǎng)絡(luò)病毒3如下表所示。其中，利用網(wǎng)頁掛馬或捆綁下載進(jìn)行傳播的網(wǎng)絡(luò)病毒所占比例較高，病毒仍多以利用系統(tǒng)漏洞的方式對(duì)系統(tǒng)進(jìn)行攻擊。ANV A 提醒互聯(lián)網(wǎng)用戶一方面要加強(qiáng)系統(tǒng)漏洞的修補(bǔ)加固，安裝具有主動(dòng)防御功能的安全軟件，開啟各項(xiàng)監(jiān)控，并及時(shí)更新；另一方面，建議互聯(lián)網(wǎng)用戶使用正版的操作系統(tǒng)和應(yīng)用軟件，不要輕易打開網(wǎng)絡(luò)上來源不明的圖片、音樂、視頻等文件，不要下載和安裝一些來歷不明的軟件，特別是一些所謂的外掛程序。

注2：中國反網(wǎng)絡(luò)病毒聯(lián)盟（Anti Network-Virus Alliance of China，縮寫ANVA ）是由中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)發(fā)起、CNCERT 具體組織運(yùn)作的行業(yè)聯(lián)盟。反網(wǎng)絡(luò)病毒聯(lián)盟依托CNCERT 的技術(shù)和資源優(yōu)勢(shì)，通過社會(huì)化機(jī)制組織開展互聯(lián)網(wǎng)網(wǎng)絡(luò)病毒防范、治理相關(guān)的信息收集發(fā)布、技術(shù)研發(fā)交流、宣傳教育、聯(lián)合打擊等工作，并面向社會(huì)提供信息咨詢、技術(shù)支持等服務(wù)，以凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，提升互聯(lián)網(wǎng)網(wǎng)絡(luò)安全水平。

3、網(wǎng)絡(luò)病毒捕獲和傳播情況

本周，CNCERT 捕獲了大量新增網(wǎng)絡(luò)病毒文件4，其中按網(wǎng)絡(luò)病毒名稱5統(tǒng)計(jì)新增84個(gè)，較上周新增數(shù)量減少了約10.6；按網(wǎng)絡(luò)病毒家族6統(tǒng)計(jì)無新增。

網(wǎng)絡(luò)病毒主要對(duì)一些防護(hù)比較薄弱或者訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進(jìn)行傳播。當(dāng)存在安全漏洞的用戶主機(jī)訪問了這些被黑客掛馬的網(wǎng)站后，會(huì)經(jīng)過多級(jí)跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點(diǎn)下載網(wǎng)絡(luò)病毒。本周，CNCERT 監(jiān)測(cè)發(fā)現(xiàn)排名前十的活躍放馬站點(diǎn)域名和活躍放馬站點(diǎn)IP 分別如下兩表所示。

網(wǎng)絡(luò)病毒在傳播過程中，往往需要利用黑客注冊(cè)的大量域名。本周，CNCERT 監(jiān)測(cè)發(fā)現(xiàn)的放馬站點(diǎn)中，通過域名訪問的共涉及有407個(gè)域名，通過IP 直接訪問的共涉及有116個(gè)IP 。在407個(gè)放馬站點(diǎn)域名中，于境內(nèi)注冊(cè)的域名數(shù)為109個(gè)（約占26.8），于境外注冊(cè)的域名數(shù)為290個(gè)（約占71.3），未知注冊(cè)商所屬境內(nèi)外信息的有8個(gè)（約占2）。下

注4：網(wǎng)絡(luò)病毒文件是網(wǎng)絡(luò)病毒的載體，包括可執(zhí)行文件、動(dòng)態(tài)鏈接庫文件等，每個(gè)文件都可以用哈希值唯一

標(biāo)識(shí)。

注5：網(wǎng)絡(luò)病毒名稱是通過網(wǎng)絡(luò)病毒行為、源代碼編譯關(guān)系等方法確定的具有相同功能的網(wǎng)絡(luò)病毒命名，完整的命名一般包括：分類、家族名和變種號(hào)。一般而言，大量不同的網(wǎng)絡(luò)病毒文件會(huì)對(duì)應(yīng)同一個(gè)網(wǎng)絡(luò)病毒名稱。 注6：網(wǎng)絡(luò)病毒家族是具有代碼同源關(guān)系或行為相似性的網(wǎng)絡(luò)病毒文件集合的統(tǒng)稱，每個(gè)網(wǎng)絡(luò)病毒家族一般包

圖為這些放馬站點(diǎn)域名按所屬頂級(jí)域的分布情況，排名前三位的是.com （約占45.7）、.info （約占16.5）、.cn （約占11.1

）。

此外，通信行業(yè)互聯(lián)網(wǎng)信息通報(bào)成員單位向CNCERT 共報(bào)送了43個(gè)惡意域名或IP(去重后

) ，各單位報(bào)送數(shù)量統(tǒng)計(jì)如下圖所示。

針對(duì)CNCERT 自主監(jiān)測(cè)發(fā)現(xiàn)以及各單位報(bào)送數(shù)據(jù)，CNCERT 積極協(xié)調(diào)域名注冊(cè)機(jī)構(gòu)等進(jìn)行處置(參見本周事件處理情況部分) ，同時(shí)通過ANVA 在其官方網(wǎng)站上發(fā)布惡意地址黑名單(詳細(xì)黑名單請(qǐng)參見：http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92) 。請(qǐng)各網(wǎng)站管理機(jī)構(gòu)注意檢查網(wǎng)站頁面中是否被嵌入列入惡意地址黑名單的URL ，并及時(shí)修補(bǔ)漏洞，加強(qiáng)網(wǎng)站的安全防護(hù)水平，不要無意中成為傳播網(wǎng)絡(luò)病毒的“幫兇”。

本周網(wǎng)站安全情況7

根據(jù)CNCERT 監(jiān)測(cè)數(shù)據(jù)，本周境內(nèi)被篡改網(wǎng)站數(shù)量為480個(gè)，較上周數(shù)量環(huán)比下降了約41.5。境內(nèi)被篡改網(wǎng)站數(shù)量按類型分布情況如下圖所示，數(shù)量最多的仍是.com 和.com.cn 域名類網(wǎng)站。其中，.gov.cn 域名類網(wǎng)站有39個(gè)（占境內(nèi)8.1），較上周環(huán)比大幅減少了約

51.3。

本周監(jiān)測(cè)發(fā)現(xiàn)并協(xié)調(diào)處理的部分被篡改政府網(wǎng)站（網(wǎng)站所屬機(jī)構(gòu)標(biāo)為省、市、區(qū)單位的gov.cn ）的列表如下，其中是否恢復(fù)是截止到5月7日12時(shí)前的驗(yàn)證結(jié)果。

根據(jù)通信行業(yè)各互聯(lián)網(wǎng)信息通報(bào)成員單位報(bào)送數(shù)據(jù)，本周共發(fā)現(xiàn)境內(nèi)被掛馬網(wǎng)站數(shù)量為117個(gè)（去重后），較上周環(huán)比減少了約40。其中，.gov.cn 域名類網(wǎng)站有22個(gè)（約占境內(nèi)18.8），環(huán)比減少了約4.3。各單位報(bào)送數(shù)量如下圖所示。

注7：政府網(wǎng)站是指英文域名以“.gov.cn ”結(jié)尾的網(wǎng)站，但不排除個(gè)別非政府部門也使用“.gov.cn ”的情況。表

截至5月7日12時(shí)，仍存在被掛馬或被植入不正當(dāng)廣告鏈接（如：網(wǎng)絡(luò)游戲、色情網(wǎng)站鏈接）的政府網(wǎng)站如下表所示。

本周事件處理情況

1、 本周處理各類事件數(shù)量

對(duì)國內(nèi)外通過電子郵件、熱線電話、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件，以及自主監(jiān)測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，CNCERT 根據(jù)事件的影響范圍和存活性、涉及用戶的性質(zhì)等因素，篩選重要事件進(jìn)行協(xié)調(diào)處理。

本周，CNCERT 通過與基礎(chǔ)電信運(yùn)營商、域名注冊(cè)服務(wù)機(jī)構(gòu)的合作機(jī)制，以及反網(wǎng)絡(luò)病毒聯(lián)盟（ANV A ）的工作機(jī)制，共協(xié)調(diào)處理了147起網(wǎng)絡(luò)安全事件。

2、 本周惡意域名和惡意服務(wù)器處理情況

依據(jù)《中國互聯(lián)網(wǎng)域名管理辦法》和《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》等相關(guān)法律法規(guī)的規(guī)定，本周ANV A 在中國電信等基礎(chǔ)電信運(yùn)營企業(yè)以及花生殼、江蘇邦寧、上海有孚、萬網(wǎng)、希網(wǎng)、新網(wǎng)互聯(lián)、新網(wǎng)數(shù)碼等域名注冊(cè)服務(wù)機(jī)構(gòu)的配合和支持下，并通過與境外域名注冊(cè)商和國際安全組織的協(xié)作機(jī)制，對(duì)97個(gè)境內(nèi)外參與傳播網(wǎng)絡(luò)病毒或仿冒網(wǎng)站的惡意域名采取了處置措施。詳細(xì)列表如下所示。

本周重要安全漏洞

本周，國家信息安全漏洞共享平臺(tái)（CNVD ）8整理和發(fā)布以下重要安全漏洞，詳細(xì)的漏洞信息請(qǐng)參見CNVD 漏洞周報(bào)（www.cnvd.org.cn/reports/list）。

注8：CNVD 是CNCERT 聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫，致力于建立國家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)急

1、Google Chrome安全漏洞

Google Chrome是一款WEB 瀏覽器。本周，該產(chǎn)品被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞構(gòu)建惡意WEB 頁，誘使用戶解析執(zhí)行任意代碼。CNVD 收錄的相關(guān)漏洞包括：Google Chrome XML解析漏洞、Google Chrome floats處理漏洞（CNVD-2012-11563）、Google Chrome沙盒IPC 競(jìng)爭(zhēng)條件漏洞、Google Chrome IPC校驗(yàn)失敗漏洞、Google Chrome floats 處理內(nèi)存錯(cuò)誤引用漏洞。上述漏洞的綜合評(píng)級(jí)均為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

2、 HP 產(chǎn)品安全漏洞

HP Systems Insight Manager是一款實(shí)現(xiàn)對(duì)IT 基礎(chǔ)設(shè)施統(tǒng)一管理的解決方案；HP System Health Application 和Command Line Utilities 是運(yùn)行在Linux 上基于IPMI 的硬件監(jiān)控工具集；HP SNMP Agents則是基于SNMP 協(xié)議的設(shè)備監(jiān)控軟件。本周，上述HP 產(chǎn)品被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞構(gòu)建惡意鏈接，誘使用戶解析，重定向用戶到任意WEB 站點(diǎn)，達(dá)到未授權(quán)訪問系統(tǒng)資源、竊取敏感信息或執(zhí)行任意代碼的攻擊目的。

CNVD 收錄的相關(guān)漏洞包括：HP SNMP Agents存在未明URI 重定向漏洞、HP System Health Application和Command Line Utilities遠(yuǎn)程代碼執(zhí)行漏洞、HP SNMP Agents存在未明跨站腳本漏洞、HP Insight Management Agents未授權(quán)操作數(shù)據(jù)漏洞、HP Insight Management Agents 跨站腳本漏洞、HP Insight Management Agents URL 重定向漏洞、HP Insight Management Agents跨站請(qǐng)求偽造漏洞、HP Systems Insight Manager驗(yàn)證繞過漏洞等。

其中，“HP System Health Application和Command Line Utilities遠(yuǎn)程代碼執(zhí)行漏洞”、“HP Insight Management Agents URL重定向漏洞”、“HP Systems Insight Manager驗(yàn)證繞過漏洞”的綜合評(píng)級(jí)均為“高?！?。目前，HP 已經(jīng)發(fā)布這些漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

3、WordPress 安全漏洞

WordPress 是一款PHP 語言開發(fā)的網(wǎng)站內(nèi)容管理系統(tǒng)。本周，該產(chǎn)品被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞竊取敏感信息或執(zhí)行任意代碼。CNVD 收錄的相關(guān)漏洞包括：WordPress Zingiri 網(wǎng)上商店插件HTML 注入漏洞（CNVD-2012-11631）、WordPress wp-comments-post.php 跨站腳本漏洞、WordPress wp-includes/formatting.php跨站腳本漏洞、WordPress 預(yù)先訪問限制策略繞過漏洞、WordPress 同源策略繞過漏洞、WordPress js文件存在未知漏洞、WordPress 插件WPSC MijnPress 'rwflush' 參數(shù)跨站腳本漏洞、WordPress swf 文件存在未知漏洞。其中，“WordPress js文件存在未知漏洞”和“WordPress swf文件存在未知漏洞”的綜合評(píng)級(jí)為“高?！?。目前，除“WordPress插件WPSC MijnPress 'rwflush'參數(shù)跨站腳本漏洞”和“WordPress Zingiri網(wǎng)上商店插件HTML 注入漏洞（CNVD-2012-11631）”外，

廠商已經(jīng)發(fā)布其他漏洞的修補(bǔ)程序，CNVD 提醒相關(guān)用戶盡快下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。 4、Drupal 產(chǎn)品安全漏洞

Drupal 是一款網(wǎng)站內(nèi)容管理系統(tǒng)。本周，該產(chǎn)品的多個(gè)模塊被披露存在多個(gè)安全漏洞，攻擊者可以利用漏洞在用戶瀏覽器中執(zhí)行任意腳本代碼，竊取基于cookie 的身份驗(yàn)證憑據(jù)并發(fā)起其他攻擊。CNVD 收錄的相關(guān)漏洞包括：Drupal Taxonomy Grid : Catalog模塊存在未明跨站腳本漏洞、Drupal Addressbook模塊SQL 注入漏洞、Drupal Addressbook模塊跨站腳本漏洞、Drupal Addressbook模塊跨站請(qǐng)求偽造漏洞。其中，“Drupal Addressbook模塊SQL 注入漏洞”的綜合評(píng)級(jí)為“高?！?。廠商尚未發(fā)布上述漏洞的修補(bǔ)程序，CNVD 提醒廣大用戶隨時(shí)關(guān)注廠商主頁以獲取最新版本。 5、GENU 存在多個(gè)SQL 注入漏洞

GENU 是一款網(wǎng)站內(nèi)容管理系統(tǒng)。本周，GENU 被披露存在一個(gè)綜合評(píng)級(jí)為“高危”的SQL 注入漏洞，主要影響2012.3版本。攻擊者可以利用漏洞提交惡意SQL 查詢，獲得數(shù)據(jù)庫信息或控制應(yīng)用系統(tǒng)。目前，廠商尚未發(fā)布該漏洞的修補(bǔ)程序，且互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對(duì)該漏洞的攻擊代碼。CNVD 提醒廣大用戶隨時(shí)關(guān)注廠商主頁以獲取最新版本。

更多高危漏洞見下表所示，詳細(xì)信息可根據(jù)CNVD 編號(hào)，在CNVD 官網(wǎng)（www.cnvd.org.cn ）進(jìn)行查詢。

小結(jié)：本周， Google Chrome 瀏覽器以及HP 的多款產(chǎn)品被批露存在漏洞，攻擊者可以利用漏洞構(gòu)建惡意鏈接發(fā)起攻擊。Drupal 和WordPress 軟件等網(wǎng)站內(nèi)容管理系統(tǒng)被批露存在多個(gè)漏洞，攻擊者可以利用漏洞竊取敏感信息或執(zhí)行任意代碼。上述產(chǎn)品由于采用的企業(yè)和個(gè)人用戶較多，需引起重視，加強(qiáng)防范。此外，國產(chǎn)網(wǎng)站內(nèi)容管理系統(tǒng)DEDECMS 以及國內(nèi)工業(yè)控制系統(tǒng)軟件Kingview 被披露的高危漏洞對(duì)國內(nèi)企業(yè)、個(gè)人用戶造成較大的影響，不過相關(guān)廠商都及時(shí)提供了補(bǔ)丁或解決方案。

CNVD 提醒使用上述軟件的相關(guān)機(jī)構(gòu)和個(gè)人及時(shí)采取安全防范措施。

二、業(yè)界新聞速遞

網(wǎng)絡(luò)安全事件與威脅

1、 英國防部?jī)?nèi)部網(wǎng)絡(luò)多次遭黑客侵入

新華網(wǎng)5月5日消息 英國國防部網(wǎng)絡(luò)安全主管喬納森·肖少將向英國媒體披露，國防部?jī)?nèi)部計(jì)算機(jī)網(wǎng)絡(luò)不止一次遭黑，包括絕密系統(tǒng)。但他拒絕公開遭黑的時(shí)間、絕密系統(tǒng)涵蓋哪些資料等細(xì)節(jié)。至于遭黑次數(shù)，《衛(wèi)報(bào)》5月3日援引肖的話報(bào)道，“難以統(tǒng)計(jì)”。“嚴(yán)重（網(wǎng)絡(luò)侵入）事件不多，但確實(shí)存在，”肖說，“而且，這些只是我們知曉的情況，有可能還有我們不知曉的（侵入）事件?！毙ど賹⒄f，國防部若想與網(wǎng)絡(luò)對(duì)手正面交鋒，就必須學(xué)會(huì)擁抱“非傳統(tǒng)”甚至“怪異”的理念，跟上時(shí)代。他認(rèn)為國防部得從大型商業(yè)網(wǎng)站“學(xué)習(xí)一兩招怪招”，例如時(shí)下熱門的社交網(wǎng)站“臉譜”為防止黑客攻擊，“推出一項(xiàng)名為“白帽子”的計(jì)劃，即只要黑客上報(bào)“臉譜”網(wǎng)站的安全漏洞，就可獲得一筆不菲的獎(jiǎng)金?！斑@恰是我們需要引入的怪主意?！蓖瑫r(shí)，肖也認(rèn)為，“網(wǎng)絡(luò)國防”已經(jīng)成為國防部重要新任務(wù)。

2、 英國打擊嚴(yán)重有組織犯罪署網(wǎng)站遭黑客襲擊關(guān)閉