一、本周网络安全基本态势

本周互联网网络安全指数整体评价为良。境内感染网络病毒1的主机数约为31万个，同种类网络病毒感染量2较上周环比大幅减少了约37.9%；新增网络病毒家族1个；境内被篡改政府网站数量为88个，较上周50个增加了38个；新增信息安全漏洞121个，较上周新增数量增加了1个，其中高危漏洞31个，较上周数量减少了28个。

本周网络病毒活动情况

网络病毒监测情况

本周境内感染网络病毒的主机数约为31万个，同种类网络病毒感染量较上周环比大幅下降了约37.9%。其中，境内被木马或被僵尸程序控制的主机约为9.6万个，同种类木马或僵尸程序感染量环比大幅减少约30.8%；境内感染飞客（Conficker）蠕虫的主机约为21.6万个，环比大幅下降约39.0%。 木马或僵尸程序受控主机在我国大陆的分布情况如下图所示，其中红色区域是木马和僵尸程序感染量最多的地区，排名前三位的分别是广东省约1万个（约占中国大陆总感染量的19.8%）、 江苏省约0.9万个（约占中国大陆总感染量的16.7%）和浙江省约0.5万个（约占中国大陆总感染量的10.8%）。 

TOP5活跃网络病毒

本周，中国反网络病毒联盟（ANVA）3整理发布的活跃网络病毒4如下表所示。其中，利用网页挂马、软件假冒和捆绑下载进行传播的网络病毒所占比例较高，病毒仍多以利用系统漏洞的方式对系统进行攻击。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固，安装具有主动防御功能的安全软件，开启各项监控，并及时更新；另一方面，建议互联网用户使用正版的操作系统和应用软件，不要轻易打开网络上来源不明的图片、音乐、视频等文件，不要下载和安装一些来历不明的软件，特别是一些所谓的外挂程序。

3、网络病毒捕获和传播情况

本周，CNCERT通过多种渠道获得大量新增网络病毒文件，其中新增网络病毒名称数为104个，较上周新增数量大幅增加20.9%；新增网络病毒家族1个。 

网络病毒主要通过对一些防护比较薄弱或者访问量较大的网站进行网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。

下图为本周活跃恶意域名在各个域名服务机构的注册数，请各域名服务机构注意加强域名服务的安全管理和域名滥用处理。特别是，由于不法分子为降低传播网络病毒的成本往往申请大量的免费域名，所以免费域名服务机构更需加强有关工作。

 

本周网站安全情况

根据CNCERT监测数据，本周境内被篡改网站数量为575个，较上周环比大幅增加约29.2%。境内被篡改网站数量按类型分布情况如下图所示，数量最多的仍是.com和.com.cn域名类网站。gov.cn域名类网站有88个（占境内约15%），较上周数量增加了38个。

本周事件处理情况

本周处理各类事件数量

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。 本周，CNCERT通过与基础电信运营商、域名注册服务机构的合作机制，以及反网络病毒联盟（ANVA）的工作机制，共协调处理了119件网络安全事件。 

2、 本周恶意域名和恶意服务器处理情况

依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定，本周ANVA在基础电信运营企业以及西部数据、东南融通、厦门中资源、新网数码、商务中国、电商互联、花生壳等域名注册服务机构的配合和支持下，并通过与境外域名注册商和国际安全组织的协作机制，对113个境内外参与传播网络病毒或从事网页仿冒活动的恶意域名或服务器主机IP采取了处置措施。

3、本周重点事件处理情况 协调处理多起境外注册仿冒中国银行网站事件

8月8日，CNCERT接到举报，称在境外注册的域名分别为bocbb.com8.tw、bocpd.tk、item.taobao.com.cset.cu.cc的网站仿冒中国银行网站，对用户财产安全构成威胁。经验证核实后，CNCERT协调国外域名注册机构，暂停了被举报的全部仿冒域名的解析服务。

CNCERT开展大运会期间木马和僵尸网络专项处置行动

8月11日和12日，为营造深圳大运会期间良好的网络安全环境，根据部《木马和僵尸网络监测与处置机制》，CNCERT组织中国电信、中国联通、中国移动等基础电信运营企业和希网网络、新网数码、花生壳、商务中国等域名注册服务机构开展了两次木马和僵尸网络处置行动。 

截至8月12日下午17时，共完成对353个规模较大的木马和僵尸网络控制端IP以及110个用于传播恶意代码的域名的处置工作。

根据CNCERT监测结果，完成专项行动后，境内木马僵尸控制服务器数量和境内木马僵尸网络被控端数量有明显下降。打击后24小时内的控制服务器数量均值较打击前同期均值下降约19.3%。

本周重要安全漏洞

本周，国家信息安全漏洞共享平台（CNVD）9整理和发布以下重要安全漏洞，详细的漏洞信息请参见CNVD漏洞周报（http://www.cnvd.org.cn/reports/list）。 本周，CNVD整理和发布以下重要

安全漏洞信息。

1、Adobe产品安全漏洞

本周，Adobe在官网发布安全公告，修复Adobe Flash Player、Flash Media Server、Shockwave Player等多个产品的安全漏洞。攻击者可以利用这些漏洞进行拒绝服务和执行任意代码等攻击，或获取敏感信息、劫持用户会话。CNVD收录的漏洞包括：Adobe Photoshop '.GIF'文件远程内存破坏漏洞、Adobe Shockwave Player内存破坏漏洞（CVE-2011-2423）、Adobe RoboHelp Server和RoboHelp跨站脚本漏洞（CVE-2011-2133）、Adobe Flash Media server内存破坏远程拒绝服务漏洞、Adobe Flash Player跨站脚本漏洞（CVE-2011-2139）、Adobe Flash Player远程整数溢出漏洞（CVE-2011-2416）、Adobe Flash Player远程缓冲区溢出漏洞（CVE-2011-2130、CVE-2011-2134）等。CNVD提醒广大Adobe用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

2、HP产品安全漏洞

本周，HP多款产品webOS、OpenView Performance Insight和Easy Printer Care Software被披露存在多个安全漏洞。攻击者可以利用这些漏洞执行任意代码，获得敏感信息或劫持用户会话。CNVD收录的漏洞包括：HP webOS日历应用程序远程脚本代码注入漏洞、HP webOS联系人应用程序远程脚本代码注入漏洞、HP OpenView Performance Insight任意代码执行漏洞（CVE- 2011- 2406）、HP Easy Printer Care Software 'HPTicketMgr.dll' ActiveX控件远程代码执行漏洞、HP OpenView Performance Insight未授权访问漏洞（CVE- 2011 -2407）。上述漏洞中，“HP webOS日历应用程序远程脚本代码注入漏洞”、“HP OpenView Performance Insight任意代码执行漏洞（CVE- 2011- 2406）”和“HP Easy Printer Care Software 'HPTicketMgr.dll' ActiveX控件远程代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布这些漏洞的补丁程序，CNVD提醒广大HP用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。 

3、Linux Kernel eCryptfs安全漏洞

eCryptfs是Linux平台下的企业文件加密系统。本周，Linux Kernel eCryptfs被披露存在多个安全漏洞。攻击者可以利用漏洞获得敏感信息、绕过安全限制、操作数据，或进行拒绝服务和特权提升攻击。CNVD收录的漏洞包括：Linux Kernel eCryptfs任意文件覆盖漏洞（CVE-2011-1837）、Linux Kernel eCryptfs权限处理漏洞（CVE-2011-1836）、Linux Kernel eCryptfs密钥处理漏洞（CVE-2011-1835）、Linux Kernel eCryptfs安装点卸载漏洞（CVE-2011-1834）、Linux Kernel eCryptfs任意目录安装漏洞（CVE-2011-1833）、Linux Kernel eCryptfs安装点权限检查漏洞（CVE-2011-1832、CVE-2011-1831）。目前，厂商已经发布了补丁程序修复这些漏洞，CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。 

4、Microsoft产品安全漏洞

本周，微软发布了2011年8月份的月度例行安全公告，包含13项安全更新，共修复22个漏洞。其中，2项更新的综合评级为“严重”，9项更新评级为“重要”，其余2项更新则为“中等”。此次更新修复了Microsoft Windows、Internet Explorer、Office、.NET Framework等多个产品存在的安全漏洞。攻击者可以利用漏洞远程执行任意代码、提升特权、获取敏感信息或进行拒绝服务攻击。CNVD收录的相关漏洞包括：Microsoft Visual Studio报告查看器控件跨站脚本漏洞、Microsoft Internet Explorer样式对象内存破坏远程代码执行漏洞、Microsoft Visio远程代码执行漏洞（CVE-2011-1979）、Microsoft Remote Desktop Web Access 跨站脚本漏洞（CVE-2011-1263）、Microsoft Internet Explorer XSLT内存破坏远程代码执行漏洞、Microsoft远程桌面协议拒绝服务漏洞（CVE-2011-1968）、Microsoft Visio远程代码执行漏洞、Microsoft .NET Framework套接字限制绕过漏洞等。上述漏洞中，“Microsoft Internet Explorer样式对象内存破坏远程代码执行漏洞”和“Microsoft Internet Explorer XSLT内存破坏远程代码执行漏洞”的综合评级均为“高危”。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。 

5、Apple iPhone/iPod下的Phone Drive目录遍历漏洞

Phone Drive可以把iOS设备变成具有分享功能的移动存储设备。本周，Phone Drive被披露存在一个目录遍历漏洞。由于Phone Drive未能正确解析用户提交的包含"..%2f"目录遍历序列的字符，攻击者可以利用漏洞获取读取服务器root目录之外的任意文件。目前，互联网上已经出现针对该漏洞的攻击代码，主要影响Phone Drive 1.1.1版本。厂商尚未发布该漏洞的修补程序，CNVD提醒相关用户随时关注厂商主页以获取最新版本。 

小结：本周，微软发布了2011年8月份的月度例行安全公告，修复了Microsoft Windows、Internet Explorer、Office、.NET Framework等多个产品存在的安全漏洞。攻击者可以利用漏洞远程执行任意代码、提升特权、获取敏感信息或进行拒绝服务攻击，对使用Microsoft产品的用户构成较为严重的威胁。同时，Adobe和HP产品以及LinuxKerneleCryptfs也被披露存在多个安全漏洞。此外，Phone Drive零日漏洞也对使用该产品的用户构成较大威胁。请使用上述软件的相关机构和个人及时采取安全防范措施。