据综合分析公安部、信息产业部及网络安全厂商的网络安全监测数据表明,3月我国网络安全威胁程度为轻度威胁,没有发生重大计算机病毒疫情和网络攻击事件,但截获新增病毒种类大幅上升。具体监测分析情况如下:
一、计算机病毒监测分析
(一)防病毒厂商对用户客户端感染病毒的监测分析
据国内主要防病毒厂商对用户感染计算机病毒情况的抽样监测,本月共截获6.2万余种病毒,比上月增加5.1%,其中新增病毒1.4万余种,比上月增加74.9%,增幅较大。被感染计算机1973万余台,比上月减少9.5%。其中,感染计算机数量排在前10位的病毒情况如下:
|
排名 |
病毒名称 |
病毒类型 |
危险等级 |
感染计算机数(单位:万台) |
传播方式 |
与上月排名相比升降幅度 |
|
1 |
Rootkit.AdProt.g |
Rootkits |
严重 |
98.1 |
流氓软件释放 |
未变 |
|
2 |
Dropper.Rynima.e |
木马释放器 |
严重 |
74.5 |
网络传播 |
↑4 |
|
3 |
HTML.Download |
脚本 |
轻微 |
73.1 |
利用IE漏洞 |
新增 |
|
4 |
Backdoor.Gpigeon及其变种 |
后门 |
严重 |
71.6 |
网络传播 |
↑3 |
|
5 |
Rootkit.Ganima.f |
Rootkits |
严重 |
64.9 |
流氓软件释放 |
↓3 |
|
6 |
Worm.Viking.gm |
蠕虫 |
轻度 |
38.9 |
网络共享
感染文件 |
↓1 |
|
7 |
Rootkit.Ganima.h |
Rootkits |
严重 |
35.3 |
流氓软件释放 |
↓4 |
|
8 |
Worm.Viking.eu |
蠕虫 |
严重 |
29.6 |
局域网络传播 |
未变 |
|
9 |
Trojan.Clicker.A-gent.afg |
木马 |
严重 |
26.8 |
网络传播 |
未变 |
|
10 |
Backdoor.Agent.dbv |
后门 |
严重 |
24.7 |
网络传播 |
新增 |
(二) 公安部对国内互联网骨干节点病毒监测分析
据公安部对北京、天津、四川和江苏等地互联网骨干节点的抽样监测,本月共截获病毒9426种,比上月减少2.7%。病毒感染机器18.1万余台,比上月减少4%。其中,感染机器数量排在前5位的病毒情况如下:
|
排名 |
病毒名称 |
病毒类型 |
危险
等级 |
感染计算机台数(单位:万) |
传播方式 |
与上月排名相比升降幅度 |
|
1 |
Worm_Mytob及变种 |
蠕虫 |
严重 |
7.5 |
电子邮件 |
未变 |
|
2 |
Worm_Netsky |
蠕虫 |
严重 |
3.92 |
电子邮件 |
↑1 |
|
3 |
Worm_Lovegate |
蠕虫 |
严重 |
2.58 |
局域网 |
↑1 |
|
4 |
Worm_AgoBo及变种 |
蠕虫 |
严重 |
2.12 |
利用漏洞 |
↑1 |
|
5 |
Worm_Bbeagle及变种 |
蠕虫 |
严重 |
1.63 |
电子邮件 |
新增 |
(三)本月计算机病毒疫情特点分析
本月计算机病毒疫情主要具有以下突出特点:一是“灰鸽子”后门程序比较活跃,感染机器数量较多。据国内主要防病毒厂商抽样监测,本月“灰鸽子”后门程序感染计算机71.6万余台,占总感染数的3.6%。二是利用网站页面传播病毒已成为病毒等恶意代码传播的主要途径之一。攻击者通过入侵一些防范不严的互联网网站,上传病毒脚本或者修改页面链接,用户访问这些网站页面时即会感染病毒。值得注意的是,本月互联网上出现了恶意网页木马嵌入视频剪辑文件进行传播的新动向。如果用户在线收看或下载播放这些带有恶意网页木马的视频剪辑文件,恶意木马即会感染该用户的计算机。
二、网络攻击监测分析
(一)网络安全事件接报情况
据信息产业部通报,本月CNCERT/CC共收到网络安全事件报告5220件,较上月增加了1488件。其中,网页被篡改事件为4961件,较上月增加了1487件,占全部事件的95%,网页恶意代码和拒绝服务攻击的数量有所增加,其他网络安全事件数量相对减少。近两个月网络安全事件具体统计见下表:
|
安全事件类型 |
近两个月网络安全事件数量(件) |
|
上月 |
本月 |
与上月相比 |
|
网页篡改(包括香港、台湾在内) |
3474 |
4961 |
+43% |
|
垃圾邮件 |
72 |
52 |
-28% |
|
网页恶意代码 |
20 |
37 |
+85% |
|
网络仿冒 |
160 |
111 |
-31% |
|
拒绝服务攻击 |
0 |
3 |
+300% |
|
其他 |
6 |
56 |
+833% |
|
总计 |
3732 |
5220 |
+40% |
(二)国内互联网骨干节点网络攻击监测情况
据公安部对北京、天津、江苏、四川等地互联网骨干节点信息流中针对Web服务器、电子邮件服务器和文件服务器的攻击的抽样监测,总攻击次数多达1233余万,其中,主要攻击特征为“检测到x86 NOOP指令可能的shellcode”,攻击次数达866.1万,占所有攻击次数的70.21% 。攻击次数排在前5位的攻击方法如下表所示:
|
攻击方法 |
攻击次数(万次) |
所占比例 |
|
检测到x86 NOOP指令可能的shellcode |
866.1 |
70.21% |
|
POP3 USER缓冲区溢出攻击 |
56.9 |
4.68% |
|
POP3 PASS overflow attempt |
52.4 |
4.24% |
|
POP3 STAT overflow attempt |
38.3 |
3.11% |
|
SMTP服务程序RCPT TO邮件地址溢出攻击 |
25.6 |
2.08% |
|