六月教育网网络运行正常，无重大安全事件发生。需要关注的是教育网内的挂马网站数量仍然呈上升趋势，这些被挂马网站多数是学校的二级院系网站，平时用户访问量较少，被挂马后影响面也不大。但是随着高招工作的展开以及学生填报志愿时对专业了解的需求，这些二级网站的访问量将增大，如果用户在访问这些挂马网站时感染木马病毒，将给用户带来不必要的损失同时也可能给学校及院系的声誉带来不良的影响。所以建议管理员在接到我们发送的挂马网站处理通知邮件后能尽快对相应的网站进行处理。

2010年05月～06月CERNET安全投诉事件统计

　　鉴于网页挂马的投诉数量居高不下，我们对挂马网站的信息进行了统计。发现一些网站长期出现在被投诉的名单里，这些网站可能基本属于无人管理的状态，在收到有挂马网页的投诉后也无人处理。另一些重复出现在投诉名单中的网站则可能是因为管理员只是简单的将网页中的挂马链接去除，而没有查明被挂马的原因并采取相应的措施加固服务器，进而导致的网站再次被挂马。这里提醒广大管理员，在处理挂马网站时往往需要对网站进行全面的安全加固，如果在技术上需要帮助，可以致电CCERT（010-62784301）进行咨询。

病毒与木马

　　近期需要关注的依然是利用热点事件进行欺诈传播的病毒。这类病毒以高考、世界杯等时下比较热门的事件为诱饵通过各种方式（如邮件、网页等）引诱用户点击运行。病毒在感染用户系统后会删除桌面的正常IE图标并伪造一个相同样式的图标，同时还会在桌面及收藏夹中生成很多热门事件（如世界杯小组赛、大学招生办等）的网页Internet快捷图标。用户不管是点击了假冒的IE浏览器图标还是网页的快捷方式都会被引导到黑客指定的站点上，这些站点可能是挂马网站也可能是一些商业广告网站。如果用户突然发现桌面多出来很多莫名奇妙的网页快捷方式，就可能是感染了这类病毒，这类病毒有很强的自我保护措施，可能需要使用专杀工具才能彻底清除。

近期新增严重漏洞评述

　　六月微软例行发布了十个安全公告，涉及的系统包括Windows系统、IE浏览器、office软件和IIS服务软件，用户应该及时安装相应的补丁程序，目前还未监测到公告中涉及的漏洞在互联网上有被明显利用的迹象。除了微软公告中涉及的漏洞外，windows的帮助与支持中心最近也爆出一个0day漏洞，这个漏洞可以被用来进行网页挂马攻击。第三方软件中Adobe针对其产品Flash player发布了相应的安全公告修补了多个安全漏洞，用户应该尽快将自己的Flash player软件更新到最新版本。

　　以下是近期需要我们用户特别关注的漏洞：

　　Windows帮助和支持中心绕过白名单限制漏洞

　　影响系统：

　　Microsoft Windows XP SP3

　　Microsoft Windows XP SP2

　　Microsoft Windows Server 2003 SP2

　　漏洞信息：

　　Windows中的帮助和支持中心默认允许访问在线的帮助文档，程序可通过hcp://形式的URL直接访问特定的帮助文档。HCP是微软为帮助中心定制的一种协议，类似于HTTP之类的协议，它可以通过资源定位器URL的链接来开启“帮助和支持中心”功能。“帮助和支持中心”(HSC)是Window中的帮助功能组件，可提供类似于是否需要下载安装更新软件等各种帮助。为保证安全，微软规定HCP协议只能用来访问白名单中列举的地址。但是协议在实现的过程中存在漏洞，使得攻击者可以绕过限制使用HCP调用帮助和支持中心访问不在白名单上的地址，如果计算机用户访问了受到HCP协议漏洞攻击的挂马Web网页，那么恶意攻击者预先设定的恶意脚本程序文件将被自动运行，同时会自动打开Windows“帮助和支持中心”，最终导致恶意木马程序入侵感染操作系统。

　　漏洞危害：

　　该漏洞是0day漏洞，漏洞的攻击方式已经在网络上被公布。用户在访问包含该漏洞攻击代码的网站或者是打开包含该漏洞攻击程序的音频文件时都可能导致系统感染木马。攻击的过程中系统的帮助和支持中心会弹出，所以当您发现自己系统的帮助和支持中心在访问过程中弹出的话就可能是正在遭受攻击。

　　解决办法：

　　目前厂商还未针对该漏洞发布补丁程序，建议您随时关注厂商的动态：

　　http://www.microsoft.com/technet/security/

　　在没有补丁程序前，您可以使用以下临时方法来减轻漏洞带来的风险：

　　暂时去除HCP协议的注册

　　在命令窗口中执行：

　　reg export HKEY_CLASSES_ROOT\HCP hcp_backup.reg

　　备份注册表中相关的表项到备份文件。

　　然后执行：

　　reg delete HKEY_CLASSES_ROOT\HCP /f

　　删除相关的注册表项去除系统的HCP协议注册。在微软发布的相关漏洞补丁安装以后，双击备份出来的hcp_backup.reg文件导入数据到注册表后即可恢复对HCP的支持。

　　Adobe Flash Player DefineBit标签JPEG解析内存破坏漏洞

　　影响系统：

　　Adobe Flash Player 9.x

　　Adobe Flash Player 10.x

　　Adobe AIR <= 1.5.3.9130

　　漏洞信息：

　　Flash player是目前使用最为广泛的浏览器插件，主要用来在网页中播放flash。

　　Flash Player负责解析SWF文件中内嵌图形数据的代码中存在安全漏洞，代码中的解压例程在对堆内存执行操作之前没有充分地验证图形维度，可能触发内存破坏，导致堆溢出。成功利用此漏洞攻击者可以以当前浏览器的权限执行任意命令。

　　漏洞危害：

　　Flash player是目前使用最为广泛的浏览器插件，几乎所有的浏览器都安装有该插件，所以它的影响比IE浏览器本身的漏洞影响面还更大。攻击者可能会利用该漏洞来进行网页挂马攻击。

　　解决办法：

　　目前厂商已经发布了升级补丁以修复这个安全问题，Flash player支持在线更新，如果您发现系统上的Flash player提示有新版本需要下载安装请尽快按提示操作执行。当然您也可以到厂商的主页下载补丁升级：

　　http://www.adobe.com/support/security/bulletins/apsb10-14.html

安全提示

　　为防范近期的漏洞和病毒，请用户执行以下操作：

　　1. 及时安装系统及应用软件（包括第三方软件）的补丁程序；

　　2. 安装正版的杀毒软件并及时更新病毒库；

　　3. 不要访问不受信任的网站，不要随便点击邮件中给出的链接；

　　4. 在访问网页的过程中一旦发现不正常的情况（如弹出帮助支持中心），请赶快拔掉网线，并使用杀毒软件进行全盘扫描。

（作者单位为CERNET国家网络中心应急响应组）

文章来源：《中国教育网络》杂志2010年7月刊