5月份我国木马被控端和境外木马控制端数量，较4月有较大幅度增长，此外，我国大陆地区被篡改网站数量连续两个月有一定幅度增长，这表明网站被黑客挂载恶意代码的可能性也大大增加。5月份捕获的恶意代码前十位也以具备信息窃取功能的木马和后门程序为主。用户需做好安全防范，防止私密信息被窃取。

　　木马活动激增
　　2009年5月1日至31日，CNCERT/CC对当前流行的木马程序的活动状况进行了抽样监测，发现我国大陆地区24277个IP地址对应的主机被其他国家或地区通过木马程序秘密控制，比4月的18855个增长28.8%，其分布情况如图1所示，最多的地区分别为广东省(10.12%)、吉林省(10.06%)和北京市(7.90%)。
　　境外控制者来自9556个IP地址，这些地址按国家和地区分布如图2所示，与4月的6400个相比增长49.3%。

　　僵尸网络控制有所缓和
　　2009年5月1日至31日，CNCERT/CC对僵尸网络的活动状况进行了抽样监测，发现国内外1212个IP地址对应的主机被利用作为僵尸网络控制服务器，与4月的1912个相比下降36.6%。境外控制端共911个，比4月的1264个下降27.9%。攻击者一般通过这些控制服务器控制僵尸网络的活动。
　　僵尸网络控制服务器在我国大陆的地区分布如图3所示，其中控制服务器最多的地区分别是广东省(25.91%)、北京市(11.30%)和上海市(7.64%)。僵尸网络控制服务器在境外的国家和地区分布如图4所示。
　　2009年5月1日至31日，CNCERT/CC发现并跟踪的僵尸网络中，分析所用控制端口的分布情况，可以看出：6667、8080和1863端口是僵尸网络最常用的控制端口，所占比例较大。

　　网页恶意代码事件迅速上升
　　2009年5月1日至31日期间，CNCERT/CC收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件2234件(不含扫描类事件，也合并了通过不同方式报告的同一网络安全事件)，其中来自国外的事件报告有2226件。5月网络安全事件较4月有较大增加，其主要原因是网页恶意代码报告数量急剧上升。
　　在2234件事件报告中，垃圾邮件事件投诉仍然占较大比例，5月为1519件，与4月基本持平。网页恶意代码事件增长较快，由4月的90件增长到557件，网络仿冒事件5月为110件，较4月增长46.7%。

　　互联网流量监测
　　2009年5月1日至31日期间，CNCERT/CC抽样监测了出入我国大陆互联网的流量(字节数)情况并对其进行统计，估算出境外访问我国大陆的流量情况。如图5所示，美国、日本、我国台湾、韩国和我国香港的访问流量较大，合计占总流量的19.16%。
　　2009年5月1日至31日期间，CNCERT/CC抽样统计了TCP和UDP端口的流量情况。其中，TCP端口流量的前10位排名及所占比例如下：

　　来源：《中国教育网络》2009年7月刊