本周，互联网网络安全态势整体评价为差。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对、企业以及广大互联网用户的主要安全来自于软件高危漏洞、恶意代码以及网站。

依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，本周境内感染网络病毒的主机数约为147万个，较上周环比增加了2.4%；新增网络病毒家族1个，较上周数量增加了1个；境内被网站数量为471个，较上周环比减少了0.8%；境内被植入后门的网站数量为77个，较上周环比减少了7.2%；针对境内网站的仿冒页面数量为2720个，较上周环比大幅上升了61.3%；新增信息安全漏洞188个，较上周环比大幅增加了1.1倍，其中新增高危漏洞43个，较上周大幅减少了35.8%。

注1：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通信行为的恶意代码。

一．本周网站安全情况

根据CNCERT监测数据，本周境内被类网站有471个（约占境内8.9%），较上周环比下降了0.8%。本周协调处理的部分被网站（网站所属机构标为省、市、区单位的）的列表如下，其中是否恢复是截止到12月3日12时前的验证结果。

注2：网站是指英文域名以“”结尾的网站，但不排除个别非部门也使用“.gov.cn”的情况。表格中仅列出了被网站或被挂马网站的域名，而非具体被或被挂马的页面URL。

本周监测发现境内被植入后门的类网站有77个（约占境内4.9%），较上周环比减少了7.2%。

根据通信行业各互联网信息通报单位报送数据，本周现境内被挂马类网站有32个（约占境内18.8%），较上周环比增加了28%。各单位报送数量如下图所示。

二．本周网络病毒活动情况

1、网络病毒监测情况

本周境内感染网络病毒的主机数约为147万个，较上周环比增加了2.4%。其中，境内被木马或被僵尸程序控制的主机约为36.3万个，较上周环比增加了14.7%；境内感染飞客（conficker）蠕虫的主机约为110.7万个，较上周环比减少了1.1%。

本周我国感染木马和僵尸程序最多的地区排名前三位的分别是广东省约5.9万个（约占中国总感染量的16.4%）、江苏省约3.4万个（约占中国总感染量的9.3%）和浙江省2.2万个（约占中国总感染量的6.1%）。

2、TOP5活跃网络病毒

本周，中国反网络病毒联盟（ANVA）整理发布的活跃恶意代码如下表所示。其中，利用应用软件及操作系统漏洞进行的恶意代码仍占较高比例，恶意代码中下载者木马和盗号木马较为活跃。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固，安装安全防护软件；另一方面，互联网用户使用正版的操作系统和应用软件，不要轻易打开网络上来源不明的图片、音乐、视频等文件，不要下载和安装一些来历不明的软件，特别是一些所谓的外挂程序。

注3：中国反网络病毒联盟（ChinaAnti-NetworkVirusAlliance,缩写ANVA）是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势，通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作，并面向社会提供信息咨询、技术支持等服务，以净化公共互联网网络，提升互联网网络安全水平。

注4：根据瑞星、金山、奇虎360、江民等企业报送的网络病毒信息整理。

3、网络病毒捕获和情况

本周，CNCERT捕获了大量新增网络病毒文件，其中按网络病毒名称统计新增新增72个，较上周环比减少了24.2%；按网络病毒家族统计新增1个，较上周数量增加了1个。

注5：网络病毒文件是网络病毒的载体，包括可执行文件、动态链接库文件等，每个文件都可以用哈希值唯一标识。

注6：网络病毒名称是通过网络病毒行为、源代码编译关系等方法确定的具有相同功能的网络病毒命名，完整的命名一般包括：分类、家族名和变种号。一般而言，大量不同的网络病毒文件会对应同一个网络病毒名称。

注7：网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称，每个网络病毒家族一般包含多个变种号区分的网络病毒名称。

网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。本周，CNCERT监测发现排名前十的活跃放马站点域名和活跃放马站点IP分别如下两表所示。

网络病毒在过程中，往往需要利用黑客注册的大量域名。本周，CNCERT监测发现的放马站点中，通过域名访问的共涉及有500个，通过IP直接访问的共涉及195个。在500个放马站点域名中，于境内注册的域名数为88个（约占17.6%），于境外注册的域名数为368个（约占73.6%），未知注册商所属境内外信息的有44个（约占8.8%）。其中按放马站点域名按所属域排名前三位的是（约占58.6%）、（约占11.4%）、.cn（约占7.2%）。

针对CNCERT自主监测发现以及各单位报送数据，CNCERT积极协调域名注册机构等进行处置(参见本周事件处理情况部分)，同时通过ANVA在其网站上发布恶意地址(详细请参见：。请各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址的URL，并及时修补漏洞，加强网站的安全防护水平，不要无意中成为网络病毒的“”。

三．本周事件处理情况

1、本周处理各类事件数量

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行处理。

本周，CNCERT通过与基础电信运营商、域名注册服务机构的合作机制，以及反网络病毒联盟（ANVA）的工作机制，共协调处理了250起网络安全事件。

2、本周恶意域名处理情况

依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的，本周ANVA在中国电信等基础电信运营企业以及爱名网、花生壳、江苏邦宁、商务中国、上海有孚、万网、西维数码、新网互联、新网数码等域名注册服务机构的配合和支持下，并通过与境外域名注册商和国际安全组织的协作机制，对195个境内外参与网络病毒或仿冒网站的恶意域名或服务器主机IP采取了处置措施。详细列表如下所示。

注8：CNCERT不公开服务器的具体IP,其中代表数字0-255，可能会出现同一C段的多个IP使用相同的表示方式。

四．本周重要安全漏洞

本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD漏洞周报（）。

注9：CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

1、Google产品安全漏洞

GoogleChrome是一款开源的WEB浏览器；GoogleCityhash提供了字符串的hash函数实现。本周，上述产品被披露存在多个安全漏洞，者利用漏洞可构建恶意WEB页，诱使用户解析，执行任意代码或发起服务。

CNVD收录的相关漏洞包括：GoogleCityHash哈希碰撞服务漏洞、GoogleChrome分块编码浏览器崩溃漏洞、GoogleChromeSVG过滤器内存错误引用漏洞、GoogleChromeSkia越界读漏洞（CNVD-2012-16404）、GoogleChromelibxml缓冲区下溢漏洞、GoogleChrome输入元素处理漏洞、GoogleChrome打印内存错误引用漏洞。其中“GoogleChrome打印内存错误引用漏洞、GoogleChrome输入元素处理漏洞、GoogleChromelibxml缓冲区下溢漏洞、GoogleChromeSVG过滤器内存错误引用漏洞”的综合评级均为“高危”。除“GoogleCityHash哈希碰撞服务漏洞”外，厂商已发布了漏洞修补程序。CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

2、Moodle安全漏洞

Moodle是一款开源的网络教学应用程序。本周，该产品被披露存在多个安全漏洞，者利用漏洞可通过高级搜索绕过，上传并执行文件。

CNVD收录的相关漏洞包括：Moodle文件上传漏洞、Moodlelib/formslib.php访问绕过漏洞、Moodle绕过读取信息漏洞、Moodle安全绕过信息读取漏洞、Moodlemoodle/role:manage安全绕过漏洞、Moodle访问其他用户Dropbox漏洞。厂商已经发布了上述漏洞的修补程序。CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

3、Xen安全漏洞

Xen是一款源代码的虚拟机器。本周，该产品被披露存在多个安全漏洞，者利用漏洞可以使系统崩溃或执行任意代码。

CNVD收录的相关漏洞包括：XenTranscendentMemory整数溢出漏洞、Xen系统崩溃漏洞、Xendo_tmem_op函数服务漏洞、Xendo_tmem_get函数服务漏洞、Xendo_tmem_control函数权限提升漏洞、XenTranscendentMemory服务漏洞、Xendo_tmem_destroy_pool函数服务漏洞。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。

4、Mahara安全漏洞

Mahara是一个开源的社会化网络应用软件，提供电子文件夹、网络日志、履历表生成器以及SNS等应用功能。本周，该产品被披露存在多个安全漏洞，利用漏洞可获得信息或劫持用户会话。

CNVD收录的相关漏洞包括：Maharaquery跨站脚本漏洞、Mahara点击劫持漏洞、Mahara任意文件读取漏洞、Maharaxhtml跨站脚本漏洞、Mahara任意程序执行漏洞、Maharaartect/file/跨站脚本漏洞、MaharaCSV跨站脚本漏洞。厂商已经发布了上述漏洞的修补程序。CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

5、SmartCMSindex.phpSQL注入漏洞

SmartCMS是一款网站内容管理系统软件。本周，该产品被披露存在一个综合评级为“高危”的SQL注入漏洞。由于SmartCMSindex.php未能过滤idx参数数据，远程者利用漏洞可进行SQL注入，获得数据库信息。目前，互联网上已经出现了针对该漏洞的代码，厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。

更多高危漏洞见下表所示，详细信息可根据CNVD编号，在CNVD官网（）进行查询。

小结：本周，应用广泛的浏览器软件GoogleChrome以及Linux平虚拟机软件Xen被披露存在多个漏洞，者利用漏洞可执行任意代码，有可能被利用发起大规模挂马，或相关主机操作系统。而Moodle和Mahara等面向教育机构和社交网络的应用软件被披露存在多个安全漏洞，利用漏洞可获得信息或上传执行文件。

此外，SmartCMS系统以及涉及国内用户较广的ASUSNet4Switch华硕电脑网络管理软件被披露存在零日漏洞，可以导致主机服务或取得主机权限，采用该软件的用户随时关注厂商主页，及时获取修复补丁或解决方案。本周值得关注的还有开源网站访问统计系统软件Piwik网站源码包被植入后门的安全事件，11月26日当天下载部署相关源码包的用户应及时更换软件，排查后门隐患。

来源：国家互联网应急中心