2019年3月| CNCERT互联网安全威胁报告第99期

2019年3月，境内感染网络病毒的终端数为近69万个。其中，境内48万余个IP地址对应的主机被木马或僵尸程序控制，与上月的52万余个相比下降7.9%。

2019年3月，境内近48万个IP地址对应的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是广东省、河南省、浙江省。

木马或僵尸网络控制服务器IP总数为11,145个。其中，境内木马或僵尸程序控制服务器IP有1,884个，按地区分布数量排名前三位的分别为广东省、北京市、上海市。境外木马或僵尸程序控制服务器IP有9,261个，主要分布于美国、巴西和南非。其中，位于美国的控制服务器控制了境内239,776个主机IP，控制境内主机IP数量居首位，其次是位于法国和英国的IP地址，分别控制了境内51,431个和39,337个主机IP。

2019年3月，CNCERT重点针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析，发现信息窃取类恶意程序样本185个，恶意扣费类恶意程序样本370个，敲诈勒索类恶意程序样本580个。

2019年3月，CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序171个。这些移动互联网恶意程序按行为属性统计，资费消耗类的恶意程序数量居首位(占32.2%)，恶意扣费类（占24.6%）、诱骗欺诈类（占18.7%）分列第二、三位。

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。2019年3月，CNCERT监测发现的放马站点中，通过域名访问的共涉及有12,934个域名，通过IP直接访问的共涉及有9,011个IP。在12,934个放马站点域名中，于境内注册的域名数为3,148个（约占24.3%），于境外注册的域名数为4,855个（约占37.5%）。放马站点域名所属顶级域名排名前5位的具体情况如表所示。

表 2019年1月活跃恶意域名所属顶级域名

2019年3月，境内被篡改网站的数量为1,220个，境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市和上海市。按网站类型统计，被篡改数量最多的是.COM域名类网站，其多为商业类网站；值得注意的是，被篡改的.GOV域名类网站有65个，占境内被篡改网站的比例为5.3%。

2019年3月，境内被植入后门的网站数量为3,316个，境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、四川省。按网站类型统计，被植入后门数量最多的是.COM域名类网站，其多为商业类网站；值得注意的是，被植入后门的.GOV域名类网站有35个，占境内被植入后门网站的比例为1.1%。

2019年3月，境外909个IP地址通过植入后门对境内1,178个网站实施远程控制。其中，境外IP地址主要位于美国、中国香港和俄罗斯等国家或地区。从境外IP地址通过植入后门控制境内网站数量来看，来自美国的IP地址共向境内280个网站植入了后门程序，入侵网站数量居首位；其次是来自中国香港和俄罗斯的IP地址，分别向境内221个和86个网站植入了后门程序。

2019年3月，CNVD收集整理信息系统安全漏洞1,132个。其中，高危漏洞343个，可被利用来实施远程攻击的漏洞有1,005个。受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等。

根据漏洞影响对象的类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。本月CNVD收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、网络设备漏洞。

在8,936件事件报告中，排名前三位的安全事件分别是漏洞、网页仿冒、恶意程序。

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。

2019年3月，CNCERT以及各省分中心共同协调处理了8,898安全事件。其中网页仿冒、漏洞类事件处理数量较多。

2019年2月|CNCERT互联网安全威胁报告第98期

2019年1月|CNCERT互联网安全威胁报告第97期