2019年4月| CNCERT互联网安全威胁报告第100期

正文

请到「今天看啥」查看全文

2019年4月，境内感染网络病毒的终端数为79万余个。其中，境内51万余个IP地址对应的主机被木马或僵尸程序控制，与上月的48万余个相比上升6.2% 。

1 木马僵尸网络监测数据分析

2019年4月，境内51万余个IP地址对应的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是河南省、广东省、江苏省。

木马或僵尸网络控制服务器IP总数为13,997个。其中，境内木马或僵尸程序控制服务器IP有1,827个，按地区分布数量排名前三位的分别为广东省、江苏省、北京市。境外木马或僵尸程序控制服务器IP有12,170个，主要分布于美国、新西兰和中国香港。其中，位于美国的控制服务器控制了境内315,198个主机IP，控制境内主机IP数量居首位，其次是位于中国香港和法国的IP地址，分别控制了境内80,414个和79,876个主机IP。

2 移动互联网恶意程序监测数据分析

2019年4月，CNCERT重点针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析，发现敲诈勒索类恶意程序样本533个，恶意扣费类恶意程序样本507个，信息窃取类恶意程序样本181个。

2019年4月，CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序169个。这些移动互联网恶意程序按行为属性统计，流氓行为类的恶意程序数量居首位(占29.0%)，资费消耗类（占28.4%）、诱骗欺诈类（占27.8%）分列第二、三位。

3 网络病毒捕获和传播情况

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。2019年4月，CNCERT监测发现的放马站点中，通过域名访问的共涉及有14,538个域名，通过IP直接访问的共涉及有11,013个IP。在14,538个放马站点域名中，于境内注册的域名数为4,695个（约占32.3%），于境外注册的域名数为3,553个（约占24.4%）。放马站点域名所属顶级域名排名前5位的具体情况如表所示。

表 2019年4月活跃恶意域名所属顶级域名

请到「今天看啥」查看全文