一、本周網(wǎng)絡安全基本態(tài)勢1的主機數(shù)約為153.5萬個，較上周環(huán)比減少了約19.6；無新增網(wǎng)絡病毒家族；境內被篡改政府網(wǎng)站數(shù)量為39個，較上周數(shù)量環(huán)比大幅下降了約51.3；新增信息安全漏洞76個，較上周

一、本周網(wǎng)絡安全基本態(tài)勢

1的主機數(shù)約為153.5萬個，較上周環(huán)比減少了約19.6；無新增網(wǎng)絡病毒家族；境內被篡改政府網(wǎng)站數(shù)量為39個，較上周數(shù)量環(huán)比大幅下降了約51.3；新增信息安全漏洞76個，較上周新增數(shù)量減少了約43.3，其中新增高危漏洞29個，環(huán)比減少了約19.4。

本周網(wǎng)絡病毒活動情況

1、網(wǎng)絡病毒監(jiān)測情況

本周境內感染網(wǎng)絡病毒的主機數(shù)約為153.5萬個，較上周環(huán)比下降了約19.6。其中，境內被木馬或被僵尸程序控制的主機約為44.3萬個，環(huán)比減少了約8.1；境內感染飛客（Conficker ）蠕蟲的主機約為109.2萬個，較上周數(shù)量環(huán)比減少了約23.5。

木馬或僵尸程序受控主機在我國大陸的分布情況如下圖所示，其中紅色區(qū)域是木馬和僵尸程序感染量最多的地區(qū)，排名前三位的分別是廣東省約7萬個（約占中國大陸總感染量的15.7）、浙江省約2.9萬個（約占中國大陸總感染量的6.6）和江蘇省約2.7萬個（約占中國大陸總感染量的6.1）。

注1：一般情況下，惡意代碼是指在未經(jīng)授權的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達到不正當目的的程序。

2、TOP5活躍網(wǎng)絡病毒

本周，中國反網(wǎng)絡病毒聯(lián)盟（ANV A ）2整理發(fā)布的活躍網(wǎng)絡病毒3如下表所示。其中，利用網(wǎng)頁掛馬或捆綁下載進行傳播的網(wǎng)絡病毒所占比例較高，病毒仍多以利用系統(tǒng)漏洞的方式對系統(tǒng)進行攻擊。ANV A 提醒互聯(lián)網(wǎng)用戶一方面要加強系統(tǒng)漏洞的修補加固，安裝具有主動防御功能的安全軟件，開啟各項監(jiān)控，并及時更新；另一方面，建議互聯(lián)網(wǎng)用戶使用正版的操作系統(tǒng)和應用軟件，不要輕易打開網(wǎng)絡上來源不明的圖片、音樂、視頻等文件，不要下載和安裝一些來歷不明的軟件，特別是一些所謂的外掛程序。

注2：中國反網(wǎng)絡病毒聯(lián)盟（Anti Network-Virus Alliance of China，縮寫ANVA ）是由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡與信息安全工作委員會發(fā)起、CNCERT 具體組織運作的行業(yè)聯(lián)盟。反網(wǎng)絡病毒聯(lián)盟依托CNCERT 的技術和資源優(yōu)勢，通過社會化機制組織開展互聯(lián)網(wǎng)網(wǎng)絡病毒防范、治理相關的信息收集發(fā)布、技術研發(fā)交流、宣傳教育、聯(lián)合打擊等工作，并面向社會提供信息咨詢、技術支持等服務，以凈化公共互聯(lián)網(wǎng)網(wǎng)絡環(huán)境，提升互聯(lián)網(wǎng)網(wǎng)絡安全水平。

3、網(wǎng)絡病毒捕獲和傳播情況

本周，CNCERT 捕獲了大量新增網(wǎng)絡病毒文件4，其中按網(wǎng)絡病毒名稱5統(tǒng)計新增84個，較上周新增數(shù)量減少了約10.6；按網(wǎng)絡病毒家族6統(tǒng)計無新增。

網(wǎng)絡病毒主要對一些防護比較薄弱或者訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進行傳播。當存在安全漏洞的用戶主機訪問了這些被黑客掛馬的網(wǎng)站后，會經(jīng)過多級跳轉暗中連接黑客最終“放馬”的站點下載網(wǎng)絡病毒。本周，CNCERT 監(jiān)測發(fā)現(xiàn)排名前十的活躍放馬站點域名和活躍放馬站點IP 分別如下兩表所示。

網(wǎng)絡病毒在傳播過程中，往往需要利用黑客注冊的大量域名。本周，CNCERT 監(jiān)測發(fā)現(xiàn)的放馬站點中，通過域名訪問的共涉及有407個域名，通過IP 直接訪問的共涉及有116個IP 。在407個放馬站點域名中，于境內注冊的域名數(shù)為109個（約占26.8），于境外注冊的域名數(shù)為290個（約占71.3），未知注冊商所屬境內外信息的有8個（約占2）。下

注4：網(wǎng)絡病毒文件是網(wǎng)絡病毒的載體，包括可執(zhí)行文件、動態(tài)鏈接庫文件等，每個文件都可以用哈希值唯一

標識。

注5：網(wǎng)絡病毒名稱是通過網(wǎng)絡病毒行為、源代碼編譯關系等方法確定的具有相同功能的網(wǎng)絡病毒命名，完整的命名一般包括：分類、家族名和變種號。一般而言，大量不同的網(wǎng)絡病毒文件會對應同一個網(wǎng)絡病毒名稱。 注6：網(wǎng)絡病毒家族是具有代碼同源關系或行為相似性的網(wǎng)絡病毒文件集合的統(tǒng)稱，每個網(wǎng)絡病毒家族一般包

圖為這些放馬站點域名按所屬頂級域的分布情況，排名前三位的是.com （約占45.7）、.info （約占16.5）、.cn （約占11.1

）。

此外，通信行業(yè)互聯(lián)網(wǎng)信息通報成員單位向CNCERT 共報送了43個惡意域名或IP(去重后

) ，各單位報送數(shù)量統(tǒng)計如下圖所示。

針對CNCERT 自主監(jiān)測發(fā)現(xiàn)以及各單位報送數(shù)據(jù)，CNCERT 積極協(xié)調域名注冊機構等進行處置(參見本周事件處理情況部分) ，同時通過ANVA 在其官方網(wǎng)站上發(fā)布惡意地址黑名單(詳細黑名單請參見：http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92) 。請各網(wǎng)站管理機構注意檢查網(wǎng)站頁面中是否被嵌入列入惡意地址黑名單的URL ，并及時修補漏洞，加強網(wǎng)站的安全防護水平，不要無意中成為傳播網(wǎng)絡病毒的“幫兇”。

本周網(wǎng)站安全情況7

根據(jù)CNCERT 監(jiān)測數(shù)據(jù)，本周境內被篡改網(wǎng)站數(shù)量為480個，較上周數(shù)量環(huán)比下降了約41.5。境內被篡改網(wǎng)站數(shù)量按類型分布情況如下圖所示，數(shù)量最多的仍是.com 和.com.cn 域名類網(wǎng)站。其中，.gov.cn 域名類網(wǎng)站有39個（占境內8.1），較上周環(huán)比大幅減少了約

51.3。

本周監(jiān)測發(fā)現(xiàn)并協(xié)調處理的部分被篡改政府網(wǎng)站（網(wǎng)站所屬機構標為省、市、區(qū)單位的gov.cn ）的列表如下，其中是否恢復是截止到5月7日12時前的驗證結果。

根據(jù)通信行業(yè)各互聯(lián)網(wǎng)信息通報成員單位報送數(shù)據(jù)，本周共發(fā)現(xiàn)境內被掛馬網(wǎng)站數(shù)量為117個（去重后），較上周環(huán)比減少了約40。其中，.gov.cn 域名類網(wǎng)站有22個（約占境內18.8），環(huán)比減少了約4.3。各單位報送數(shù)量如下圖所示。

注7：政府網(wǎng)站是指英文域名以“.gov.cn ”結尾的網(wǎng)站，但不排除個別非政府部門也使用“.gov.cn ”的情況。表

截至5月7日12時，仍存在被掛馬或被植入不正當廣告鏈接（如：網(wǎng)絡游戲、色情網(wǎng)站鏈接）的政府網(wǎng)站如下表所示。

本周事件處理情況

1、 本周處理各類事件數(shù)量

對國內外通過電子郵件、熱線電話、傳真等方式報告的網(wǎng)絡安全事件，以及自主監(jiān)測發(fā)現(xiàn)的網(wǎng)絡安全事件，CNCERT 根據(jù)事件的影響范圍和存活性、涉及用戶的性質等因素，篩選重要事件進行協(xié)調處理。

本周，CNCERT 通過與基礎電信運營商、域名注冊服務機構的合作機制，以及反網(wǎng)絡病毒聯(lián)盟（ANV A ）的工作機制，共協(xié)調處理了147起網(wǎng)絡安全事件。

2、 本周惡意域名和惡意服務器處理情況

依據(jù)《中國互聯(lián)網(wǎng)域名管理辦法》和《木馬和僵尸網(wǎng)絡監(jiān)測與處置機制》等相關法律法規(guī)的規(guī)定，本周ANV A 在中國電信等基礎電信運營企業(yè)以及花生殼、江蘇邦寧、上海有孚、萬網(wǎng)、希網(wǎng)、新網(wǎng)互聯(lián)、新網(wǎng)數(shù)碼等域名注冊服務機構的配合和支持下，并通過與境外域名注冊商和國際安全組織的協(xié)作機制，對97個境內外參與傳播網(wǎng)絡病毒或仿冒網(wǎng)站的惡意域名采取了處置措施。詳細列表如下所示。

本周重要安全漏洞

本周，國家信息安全漏洞共享平臺（CNVD ）8整理和發(fā)布以下重要安全漏洞，詳細的漏洞信息請參見CNVD 漏洞周報（www.cnvd.org.cn/reports/list）。

注8：CNVD 是CNCERT 聯(lián)合國內重要信息系統(tǒng)單位、基礎電信運營商、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫，致力于建立國家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗證、分析等應急

1、Google Chrome安全漏洞

Google Chrome是一款WEB 瀏覽器。本周，該產(chǎn)品被披露存在多個安全漏洞，攻擊者可以利用漏洞構建惡意WEB 頁，誘使用戶解析執(zhí)行任意代碼。CNVD 收錄的相關漏洞包括：Google Chrome XML解析漏洞、Google Chrome floats處理漏洞（CNVD-2012-11563）、Google Chrome沙盒IPC 競爭條件漏洞、Google Chrome IPC校驗失敗漏洞、Google Chrome floats 處理內存錯誤引用漏洞。上述漏洞的綜合評級均為“高危”。目前，廠商已經(jīng)發(fā)布這些漏洞的修補程序，CNVD 提醒相關用戶盡快下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

2、 HP 產(chǎn)品安全漏洞

HP Systems Insight Manager是一款實現(xiàn)對IT 基礎設施統(tǒng)一管理的解決方案；HP System Health Application 和Command Line Utilities 是運行在Linux 上基于IPMI 的硬件監(jiān)控工具集；HP SNMP Agents則是基于SNMP 協(xié)議的設備監(jiān)控軟件。本周，上述HP 產(chǎn)品被披露存在多個安全漏洞，攻擊者可以利用漏洞構建惡意鏈接，誘使用戶解析，重定向用戶到任意WEB 站點，達到未授權訪問系統(tǒng)資源、竊取敏感信息或執(zhí)行任意代碼的攻擊目的。

CNVD 收錄的相關漏洞包括：HP SNMP Agents存在未明URI 重定向漏洞、HP System Health Application和Command Line Utilities遠程代碼執(zhí)行漏洞、HP SNMP Agents存在未明跨站腳本漏洞、HP Insight Management Agents未授權操作數(shù)據(jù)漏洞、HP Insight Management Agents 跨站腳本漏洞、HP Insight Management Agents URL 重定向漏洞、HP Insight Management Agents跨站請求偽造漏洞、HP Systems Insight Manager驗證繞過漏洞等。

其中，“HP System Health Application和Command Line Utilities遠程代碼執(zhí)行漏洞”、“HP Insight Management Agents URL重定向漏洞”、“HP Systems Insight Manager驗證繞過漏洞”的綜合評級均為“高?！?。目前，HP 已經(jīng)發(fā)布這些漏洞的修補程序，CNVD 提醒相關用戶盡快下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

3、WordPress 安全漏洞

WordPress 是一款PHP 語言開發(fā)的網(wǎng)站內容管理系統(tǒng)。本周，該產(chǎn)品被披露存在多個安全漏洞，攻擊者可以利用漏洞竊取敏感信息或執(zhí)行任意代碼。CNVD 收錄的相關漏洞包括：WordPress Zingiri 網(wǎng)上商店插件HTML 注入漏洞（CNVD-2012-11631）、WordPress wp-comments-post.php 跨站腳本漏洞、WordPress wp-includes/formatting.php跨站腳本漏洞、WordPress 預先訪問限制策略繞過漏洞、WordPress 同源策略繞過漏洞、WordPress js文件存在未知漏洞、WordPress 插件WPSC MijnPress 'rwflush' 參數(shù)跨站腳本漏洞、WordPress swf 文件存在未知漏洞。其中，“WordPress js文件存在未知漏洞”和“WordPress swf文件存在未知漏洞”的綜合評級為“高危”。目前，除“WordPress插件WPSC MijnPress 'rwflush'參數(shù)跨站腳本漏洞”和“WordPress Zingiri網(wǎng)上商店插件HTML 注入漏洞（CNVD-2012-11631）”外，

廠商已經(jīng)發(fā)布其他漏洞的修補程序，CNVD 提醒相關用戶盡快下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。 4、Drupal 產(chǎn)品安全漏洞

Drupal 是一款網(wǎng)站內容管理系統(tǒng)。本周，該產(chǎn)品的多個模塊被披露存在多個安全漏洞，攻擊者可以利用漏洞在用戶瀏覽器中執(zhí)行任意腳本代碼，竊取基于cookie 的身份驗證憑據(jù)并發(fā)起其他攻擊。CNVD 收錄的相關漏洞包括：Drupal Taxonomy Grid : Catalog模塊存在未明跨站腳本漏洞、Drupal Addressbook模塊SQL 注入漏洞、Drupal Addressbook模塊跨站腳本漏洞、Drupal Addressbook模塊跨站請求偽造漏洞。其中，“Drupal Addressbook模塊SQL 注入漏洞”的綜合評級為“高?！薄S商尚未發(fā)布上述漏洞的修補程序，CNVD 提醒廣大用戶隨時關注廠商主頁以獲取最新版本。 5、GENU 存在多個SQL 注入漏洞

GENU 是一款網(wǎng)站內容管理系統(tǒng)。本周，GENU 被披露存在一個綜合評級為“高?！钡腟QL 注入漏洞，主要影響2012.3版本。攻擊者可以利用漏洞提交惡意SQL 查詢，獲得數(shù)據(jù)庫信息或控制應用系統(tǒng)。目前，廠商尚未發(fā)布該漏洞的修補程序，且互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊代碼。CNVD 提醒廣大用戶隨時關注廠商主頁以獲取最新版本。

更多高危漏洞見下表所示，詳細信息可根據(jù)CNVD 編號，在CNVD 官網(wǎng)（www.cnvd.org.cn ）進行查詢。

小結：本周， Google Chrome 瀏覽器以及HP 的多款產(chǎn)品被批露存在漏洞，攻擊者可以利用漏洞構建惡意鏈接發(fā)起攻擊。Drupal 和WordPress 軟件等網(wǎng)站內容管理系統(tǒng)被批露存在多個漏洞，攻擊者可以利用漏洞竊取敏感信息或執(zhí)行任意代碼。上述產(chǎn)品由于采用的企業(yè)和個人用戶較多，需引起重視，加強防范。此外，國產(chǎn)網(wǎng)站內容管理系統(tǒng)DEDECMS 以及國內工業(yè)控制系統(tǒng)軟件Kingview 被披露的高危漏洞對國內企業(yè)、個人用戶造成較大的影響，不過相關廠商都及時提供了補丁或解決方案。

CNVD 提醒使用上述軟件的相關機構和個人及時采取安全防范措施。

二、業(yè)界新聞速遞

網(wǎng)絡安全事件與威脅

1、 英國防部內部網(wǎng)絡多次遭黑客侵入

新華網(wǎng)5月5日消息 英國國防部網(wǎng)絡安全主管喬納森·肖少將向英國媒體披露，國防部內部計算機網(wǎng)絡不止一次遭黑，包括絕密系統(tǒng)。但他拒絕公開遭黑的時間、絕密系統(tǒng)涵蓋哪些資料等細節(jié)。至于遭黑次數(shù)，《衛(wèi)報》5月3日援引肖的話報道，“難以統(tǒng)計”?！皣乐兀ňW(wǎng)絡侵入）事件不多，但確實存在，”肖說，“而且，這些只是我們知曉的情況，有可能還有我們不知曉的（侵入）事件。”肖少將說，國防部若想與網(wǎng)絡對手正面交鋒，就必須學會擁抱“非傳統(tǒng)”甚至“怪異”的理念，跟上時代。他認為國防部得從大型商業(yè)網(wǎng)站“學習一兩招怪招”，例如時下熱門的社交網(wǎng)站“臉譜”為防止黑客攻擊，“推出一項名為“白帽子”的計劃，即只要黑客上報“臉譜”網(wǎng)站的安全漏洞，就可獲得一筆不菲的獎金?！斑@恰是我們需要引入的怪主意?！蓖瑫r，肖也認為，“網(wǎng)絡國防”已經(jīng)成為國防部重要新任務。

2、 英國打擊嚴重有組織犯罪署網(wǎng)站遭黑客襲擊關閉