“惡意代碼”大幅增長

文/徐原

“惡意代碼”大幅增長

文/徐原

CNCERT 發布2010年3月網絡安全數據

2010年3月，CNCERT收到國內外通過電子郵件、熱線電話、網站提交、傳真等方式報告的網絡安全事件2017件（合并了通過不同方式報告的同一網絡安全事件），與2月的1917件相比增長5%，其中來自國外的事件報告有1992件。

在2017件事件報告中，數量最多的分別是垃圾郵件類事件1001件，惡意代碼類事件648件，漏洞類事件228件。3月，網絡安全事件報告數量略有增長，其中“惡意代碼”事件報告數量增長幅度最大，為245%。

2010年1月至3月，CNCERT收到的網絡安全事件報告數量月度統計如圖1所示。3月收到的網絡安全事件報告較少，略高于1月的水平。

木馬事件

2010年3月，CNCERT監測發現我國大陸地區44727個IP地址對應的主機被其他國家或地區通過木馬程序秘密控制，與2月的64411個相比下降31%，其分布情況如圖2所示。

1月至3月，我國大陸地區被境外通過木馬程序控制的主機IP數量月度統計如圖3所示，整體呈下降趨勢?？梢钥吹?月木馬受控主機IP數量處于第一季度最低水平。

2010年3月，秘密控制我國大陸計算機的境外木馬控制服務器IP有8617個，與2月的79560個相比下降89%。

僵尸網絡事件

2010年3月，CNCERT監測發現我國大陸52369個IP地址對應的主機被其他國家或地區通過僵尸程序秘密控制，與2月的54890個相比下降5%，其分布情況如圖4所示。其中，數量最多的地區分別是上海市5811個（占中國大陸11.10%）、廣東省5304個（占中國大陸10.13%）和浙江省4629個（占中國大陸8.84%）。

2010年1月至3月，我國大陸地區被境外通過僵尸程序控制的主機IP數量月度統計如圖4所示，整體呈下降趨勢?？梢钥吹?月僵尸網絡受控主機IP數量處于第一季度最低水平。

2010年3月，秘密控制我國大陸計算機的境外僵尸網絡控制服務器IP有610個，與2月的1055個相比下降42%。

網站被篡改情況分析

2010年3月，我國大陸地區被篡改網站的數量為2303個，與2月的2304個相比基本未發生變化，其中代號為“Hmei7”、“HEXB00T3R”和“NEO”的攻擊者對大陸政府網站進行了大量篡改。我國香港被篡改網站數量為43個，較2月增加3個，我國臺灣被篡改網站數量為17個，較2月增加2個。

按地區分布情況來看，我國大陸被篡改網站數量最多的地區分別是北京市478個（占中國大陸20.76%）、江蘇省266個（占中國大陸11.55%）和廣東省233個（占中國大陸10.12%）。

按類型分布情況來看，我國大陸被篡改網站數量最多的分別是.com和.com.cn為1378個（占中國大陸59.83%），.gov.cn為447個（占中國大陸19.41%），.net和.net.cn為158個（占中國大陸6.86%）。

2010年3月，大陸地區政府網站被篡改的數量為447個，較2月的403個增長11%，占大陸被篡改網站的比例由17.49%上升到19.41%。其中，3月17日被篡改數量最多，達到41起。

CNCERT每日都對監測到的大陸被篡改網站進行匯總分析，并及時通知網站所在省的分中心協調解決，促進相關部門盡快恢復被篡改網站。

另外，2010年3月，CNCERT抽樣監測了出入我國大陸互聯網的流量（字節數）情況并對其進行統計，估算出境外訪問我國大陸的流量情況。美國、日本、我國香港、韓國和我國臺灣的訪問流量較大，合計占總流量的18.2%。

(作者單位為國家計算機網絡應急技術處理協調中心)