一、 全国计算机病毒传播形势

根据"江民计算机病毒疫情监测系统"的数据显示，2010年5月份较2010年4月份而言，全国范围内感染病毒的计算机数量有明显的上升，涨幅约20%。

本月中最为流行的是蠕虫类病毒，其中又以"刻毒虫"变种家族最为盛行。该病毒利用U盘和系统漏洞在局域网和不同系统之间进行传播，其具有下载其它恶意程序、干扰被感染系统访问指定站点（通常为安全软件厂商或微软官方站点）、反安全软件以及自我升级更新的功能，可以说是集现代病毒主要危害和传播方式于一身的"大成者"。由于该病毒会创建多个随机名称的病毒文件，同时篡改系统服务注册表项，从而以svchost.exe调用的方式实现开机自启，因此欲彻底清除该病毒最好借助安全厂商推出的专杀工具。江民科技"刻毒虫"专杀工具的下载地址为：

http://filedown.jiangmin.com/download/KidoTool.exe

同时，为系统账户设置强壮的口令、安装MS08-067对应的补丁、关闭系统的自动播放功能以及通过防火墙封堵TCP 139、445端口，都可以在不同程度上对其进行防御。"刻毒虫"变种最早在2008年11月出现，时至今日仍旧活跃在病毒排行统计中，这足以反映出许多人在安全意识上的淡漠，同时也反映出安全防范中存在的许多薄弱之处。正是这些薄弱的地方，成为了病毒传播过程中大开的缺口。

另外，在本月中新上榜的"JS毒器"变种gzn（Trojan/JS.gzn）也十分值得引起我们的关注。这个病毒会在"%ProgramFiles%\Messenger"文件夹下生成恶意脚本"messenger.jse" 并调用运行（该脚本通过Java Encode加密）。该脚本首先会在注册表中创建".dwq" 扩展名的相关项目，并且获取桌面上快捷方式的名称等信息，之后会在桌面上创建同名、同图标的".dwq" 扩展名的快捷方式（扩展名不显示）。以后每当用户通过这种快捷方式启动应用程序时，便会在后台首先执行 "messenger.jse" 。而"messenger.jse" 则会在系统的IE收藏夹和桌面上创建大量的Internet快捷方式以及假冒的IE快捷方式，诱骗用户对指定的站点进行访问。这段时间，通过释放Internet快捷方式和假冒IE快捷方式进行站点推广的病毒十分猖獗，从这个病毒上我们不难看出，不法分子已开始通过更为隐蔽和顽固的方式进行着非法利益的牟取。

（2010年1~5月份病毒感染计算机数量趋势图 来源：江民科技）

（2010年5月份全国计算机感染主要病毒类型 来源：江民科技）

二、 月度五大流行计算机病毒

（2010年5月份五大流行计算机病毒 来源：江民科技）

三、 月度五大恶意网站

（2010年5月份五大恶意网站 来源：江民科技）

上月中，最常被骇客用来挂马的漏洞仍旧为"CVE-2010-0806"，这已经是该漏洞自3月中旬出现在挂马统计数据中以来，连续2个月一统网页挂马的天下。不法分子除了通过不断地申请新的域名来实现恶意程序传播以及逃避打击外，更是通过入侵其它站点的方式来达到扩大挂马覆盖面的目的。据江民科技近段时间的监控数据显示，"黄山市黄山区人民政府网"、"三峡热线"、"牛盘网"、"新尚网"等政府网站以及具有一定访问量的商业站点纷纷被攻陷，从而沦为了挂马者的傀儡。

四、 月度漏洞信息

1. Adobe Photoshop多个文件类型远程缓冲区溢出漏洞
漏洞等级：高
受影响版本：Photoshop CS4 <=11.0.1
漏洞描述：Adobe Photoshop是一款功能强大的图像处理软件。Adobe Photoshop CS4在处理特殊构建的.ASL，.GRD，.ABR文件时存在内存破坏问题，远程攻击者可以利用漏洞以应用程序权限执行任意指令。
解决方案：Adobe PhotoShop CS4 11.0.2已经修复此漏洞，详情参见：
http://www.adobe.com/support/security/bulletins/apsb10-13.html

2. Mozilla Firefox错误处理信息泄漏漏洞
漏洞等级：低
受影响版本：Firefox 3.5.9、Firefox 3.6.3
漏洞描述：Mozilla Firefox是一款开放源代码的WEB浏览器。此漏洞是由于"window.onerror"处理器允许调用读取重定向的目标URL，通过HTML "<script>"标签引用重定向站点会泄漏包含在目标URL中的特定会话查询参数。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

3. Linux Kernel 'knfsd' 'current->mm'修饰符本地拒绝服务漏洞
漏洞等级：低
受影响版本：Linux Kernel 2.6.x
漏洞描述：Linux是一款开放源代码的操作系统。 如果攻击者使用knfsd进程导出shmemfs对象并运行严格的overcommit，在这种情况下基于current->mm的overcommit修饰符就可能引用空指针而导致knfsd服务崩溃。
解决方案：
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=91828a405ae454a9503c41a7744f6ff877a80714

4. Linux Kernel gfs2_quota结构写操作本地拒绝服务漏洞
漏洞等级：低
受影响版本：Linux Kernel 2.6.x
漏洞描述：Linux是一款开放源代码的操作系统。 如果gfs2_quota结构超过页面边界位并占据两个独立页面时，本地攻击者利用漏洞通过对第一个页面进行越界写访问触发缓冲区溢出，导致内核挂起，造成拒绝服务攻击。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

5. Google Chrome 5.0.375.55版本之前包含多个安全漏洞
漏洞等级：高
受影响版本：Google Chrome 4.0.249 .78、4.0.249 .89、4.1.249.1045、4.1.249 1064、4.1.249 1059、4.1.249.1042、4.1.249 1036
漏洞描述：Google Chrome是一款开源的WEB浏览器。Google Chrome 5.0.375.55之前版本存在多个安全漏洞：通过卸载事件处理器可进行URL地址伪造、安全浏览交互（Safe Browsing interaction）存在内存错误、白名单列表模式插件拦截器实现存在错误可绕过、拖放操作存在内存错误、不正确执行扩展内容中的JavaScript。另外程序还修补了一些不可利用的崩溃，挂起等程序缺陷。
解决方案：Google Chrome 5.0.375.55已经修复此漏洞，建议该浏览器用户及时更新：
http://www.google.com/chrome

6. hi.baidu嵌入标签HTML注入漏洞
漏洞等级：高
受影响版本：无
漏洞描述：百度空间（hi.baidu.com）在使用embed标签没有指定type，导致在webkit内核下的浏览器可嵌入html代码。百度空间插入视频使用embed标签，对插入目标的网站域名进行验证，只允许插入白名单内的网站，白名单如下： \\ ||土豆网 56.com 优酷网 ||酷6网 六间房 mofile.com ||QQ播客 新浪视频 sohu视频 ||偶偶视频 UUME youtube // 问题出现在百度并未对embed标签指定[type="application/x-shockwave-flash"]属性，而webkit内核的浏览器在渲染embed时，未指定type的会使用text/html去引入src指向的资源，从而导致可引入html代码进行执行，加上百度完全信任白名单中的网站，只要利用白名单网站的跨站漏洞即可进行攻击。
解决方案：百度控件的编辑器指定了对embed标签指定
[type="application/x-shockwave-flash"]属性。

7. hi.baidu creatbgmusic() Dom跨站脚本漏洞
漏洞等级：高
受影响版本：无
漏洞描述：百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤，导致可以通过initBlogTextForFCK()函数构造容易HTML代码，最终导致xss漏洞。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

8. Firefox 3.6.3多个远程拒绝服务漏洞
漏洞等级：高
受影响版本：Firefox 3.6.3
漏洞描述：Firefox的xul.dll和USP10.dll库中包含的
gfxWindowsFontGroup::MakeTextRun函数和DoubleWideCharMappedString类存在多个拒绝服务问题。构建恶意网页，使JavaScript代码创建包含超长字符串元素的数组，并把超长字符串追加到P元素内容之后，Firefox解析时可导致内存破坏或空指针应用，可导致应用程序崩溃。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

9. D-Link DI-724P+路由器'wlap.htm' HTML注入漏洞
漏洞等级：低
受影响版本：DI-724P+
漏洞描述：D-Link DI-724P+是一款无线路由器设备。在设备管理WEB接口中，"wireless"标签下，脚本可以从GET字符串中注入。通过注入任意HTML和恶意脚本代码，可导致在目标用户浏览器上执行。受影响的URL为：http://192.168.0.1/wlap.htm
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

10.Microsoft Windows Canonical显示驱动远程代码执行漏洞
漏洞等级：低
受影响版本：Windows 7、Windows Server 2008 for x64-based Systems R2、Windows Server 2008 for Itanium-based Systems R2
漏洞描述：Canonical显示驱动(cdd.dll)存在一个安全问题，远程攻击者可以利用漏洞使系统崩溃，可能导致任意代码执行。Canonical显示驱动用于桌面组件，融合了windows图形设备接口(GDI)和DirectX绘图，漏洞影响Itanium系统下的Windows 7 x64, Windows Server 2008 R2 x64和Windows Server 2008 R2服务程序。成功利用漏洞可导致系统停止响应并重启。目前来说，结合ASLR防护技术和内核内存随机导致代码执行难于利用。 另外，此漏洞只影响安装了Aero桌面主题的windwos系统，Windows Server 2008 R2默认没有启用Windows Aero，Windows Server 2008 R2默认也不包含windows aero相关图形驱动。要启用Windows Aero，需要从第三方获得图形驱动。
解决方案：（临时解决方案，正式补丁暂未推出）
关闭Windows Aero主题；
在组策略－－用户配置－－策略－－管理模板－－控制面板－－个性化中，启用"强制指定一个可视化风格文件或者强制为Windows经典模式"项目。

11.Linux Kernel Btrfs克隆文件安全绕过漏洞
漏洞等级：低
受影响版本：Linux Kernel 2.6.x
漏洞描述：btrfs_ioctl_clone() ioctl用于拷贝提供的源文件描述符到一个目标文件描述符上，在拷贝前没有对要读的源文件描述符是否打开进行检查，允许攻击者拷贝(及之后读)一些没有读权限的文件。如拷贝只写权限的文件。
解决方案：Linux kernel 2.6.34已经修复此漏洞，建议用户下载执行：
http://www.kernel.org/

12.Adobe Shockwave Player CVE-2010-0127 3D解析远程代码执行漏洞
漏洞等级：高
受影响版本：Shockwave Player 11.5.2.606、11.5.601、11.5.6.606、11.5.1.601、11.5.2.602、11.5.596、11.5.600
漏洞描述：Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。Adobe Shockwave Player处理，远程攻击者FFFFFF45h Shockwave 3D块存在边界错误，可以利用漏洞构建恶意shockwave文件，诱使用户解析，使应用程序崩溃。
解决方案：http://www.adobe.com/support/security/bulletins/apsb10-12.html

13.Adobe Shockwave Player CVE-2010-1289未明远程代码执行漏洞
漏洞等级：高
受影响版本：Shockwave Player 11.5.2.606、11.5.601、11.5.6.606、11.5.1.601、11.5.2.602、11.5.596、11.5.600
漏洞描述：Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。Adobe Shockwave Player存在一个未明错误，可以利用漏洞构建恶意shockwave文件，诱使用户解析，使应用程序崩溃。
解决方案：http://www.adobe.com/support/security/bulletins/apsb10-12.html

14.Adobe Shockwave Player CVE-2010-0130整数溢出远程代码执行漏洞
漏洞等级：高
受影响版本：Shockwave Player 11.5.2.606、11.5.601、11.5.6.606、11.5.1.601、11.5.2.602、11.5.596、11.5.600
漏洞描述：Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。Adobe Shockwave Player存在一个整数溢出，远程攻击者可以利用漏洞构建恶意文件，诱使用户解析，使应用程序崩溃。
解决方案：http://www.adobe.com/support/security/bulletins/apsb10-12.html

15.MySQL 'COM_FIELD_LIST'命令缓冲区溢出漏洞
漏洞等级：中
受影响版本：MySQL < 5.1.47
漏洞描述：MySQL是一款流行的数据库服务程序。COM_FIELD_LIST命令报文处理表名参数缺少正确的边界检查，攻击者可以构建一个超长表名参数传递给COM_FIELD_LIST，可触发缓冲区溢出。成功利用漏洞可以以应用程序权限执行任意代码。
解决方案：MySQL 5.1.47已经修复此漏洞，建议用户及时进行更新：
http://www.mysql.com/

16.MySQL畸形报文处理远程拒绝服务漏洞
漏洞等级：中
受影响版本：MySQL < 5.1.47
漏洞描述：MySQL是一款流行的数据库服务程序。如果攻击者提交的一个报文其大小远超过单个报文规定的最大值，服务程序在处理此报文时存在一个错误，可锁死服务器状态。造成拒绝服务攻击。
解决方案：MySQL 5.1.47已经修复此漏洞，建议用户及时进行更新：
http://www.mysql.com/

17.MySQL COM_FIELD_LIST命令绕过权限检查漏洞
漏洞等级：中
受影响版本：MySQL < 5.1.47
漏洞描述：MySQL是一款使用非常广泛的开放源代码关系数据库系统，拥有各种平台的运行版本。MySQL在处理COM_FIELD_LIST命令的表格名称参数时没有正确的执行权限检查，对一个表格拥有DELETE或SELECT权限的认证用户可以读取或删除其他表格的内容。
解决方案：MySQL 5.1.47已经修复此漏洞，建议用户及时进行更新：
http://www.mysql.com/

18.Outlook Express 和 Windows Mail 中可允许远程执行代码漏洞
漏洞等级：高
受影响版本：Windows Live Mail、Windows Mail、Outlook Express版本：6.0、Outlook Express版本：5.5、Outlook Express版本：5.5 SP2、Outlook Express版本：6.0 SP1、Outlook Express版本：5.5 SP1
漏洞描述：Microsoft Outlook Express/Windows Mail是windows系统中自带的邮件客户端。Windows邮件客户端软件处理特殊构建的STAT应答存在整数溢出，远程未授权用户可利用漏洞引用越界内存触发内存破坏，可能以应用程序权限执行任意指令。 构建恶意服务器，诱使用户使用POP3和IMAP协议连接可触发此漏洞。
解决方案：http://www.microsoft.com/technet/security/Bulletin/MS10-030.mspx

19.Microsoft Visual Basic for Applications文本解析栈缓冲区溢出漏洞
漏洞等级：高
受影响版本： Office XP SP3、Office 2003 SP3、Office 2007 SP1、Office 2007 SP2
漏洞描述：Microsoft Visual Basic for Applications是一种Visual Basic宏语言，主要能用来扩展Windows的应用程式功能，Microsoft Office的核心组件之一。当搜索支持VBA(如Office文档)文档中的ActiveX控件时，VBE6.dll中的部分文本解析代码存在错误，可触发单字节栈覆盖。 不过存在三个条件限制限制攻击者的攻击： -被覆盖的字节必须等于0x2e (46十进制) -覆盖值始终为零 -在解析缓冲区和被覆盖字节(0x2e)之间不能提供零字节。
解决方案：http://www.microsoft.com/technet/security/Bulletin/MS10-031.mspx

20.Apple Safari 'window.parent.close()'远程代码执行漏洞
漏洞等级：高
受影响版本：Safari for Windows 4.0.5
漏洞描述：Apple Safari处理父窗口存在错误，可导致函数调用使用非法指针。诱使用户访问恶意WEB页，并关闭打开的弹出窗口，可导致以目标用户应用程序安全上下文执行任意代码。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

21.VMware View跨站脚本漏洞
漏洞等级：低
受影响版本：VMware View <3.1.3 build 252693
漏洞描述：VMware View是一款专为以托管服务形式交付桌面而构建的解决方案。通过某些参数传递的输入在返回用户之前VMware View缺少充分过滤，攻击者可以利用漏洞进行跨站脚本攻击。
解决方案：VMware View 3.1.3 build 252693已经修复此漏洞，建议该软件用户及时进行更新：
http://downloads.vmware.com/download/download.do?downloadGroup=VIEW-313-ENTERPRISE

22.暴风影音播放器m3u文件处理远程溢出漏洞
漏洞等级：高
受影响版本：Storm2012 3.10.3.17、3.10.4.16、3.10.2.5、3.10.4.21、3.10.1.12、3.10.4.8
漏洞描述：暴风影音播放器在处理m3u文件时存在边界检查错误，从而导致了这个溢出漏洞。攻击者可以通过欺骗用户点击m3u播放文件或通过挂马方式，最终达到控制用户操作系统的目的。
解决方案：请该软件的用户将版本更新至3.10.04.29。

23.Samba 'mount.cifs'工具符号攻击本地特权提升漏洞
漏洞等级：低
受影响版本：Samba <=3.4.7
漏洞描述：Samba是一款实现SMB协议、跨平台进行文件共享和打印共享服务的程序。 mount.cifs中的client/mount.cifs.c允许本地用户在任意挂载点安装一个CIFS共享，并通过对挂载目录文件上进行符号链接攻击提升特权。
解决方案：MandrakeSoft Linux已经修复此漏洞，建议该软件用户及时进行更新：
http://www.mandriva.com/en/download/

24.Adobe Photoshop TIFF文件处理存在漏洞
漏洞等级：高
受影响版本：Photoshop CS4 11.0.0
漏洞描述：Adobe Photoshop是一款功能强大的图像处理软件。 Adobe Photoshop CS4处理TIFF文件存在错误，构建特殊的TIFF文件，诱使用户处理，可导致任意代码执行。 成功利用漏洞可以以应用程序权限执行任意指令。
解决方案：http://www.adobe.com/support/security/bulletins/apsb10-10.html

25.Microsoft .NET Framework ViewState远程跨站脚本漏洞
漏洞等级：不详
受影响版本：Microsoft .NET Framework 3.5
漏洞描述：.NET Framework中的ASP.NET没有正确地处理未经加密的ViewState。通常ASP.Net的ViewState存储在名为__VIEWSTATE的隐藏字段中。如果页面的ViewState没有加密签名，就可以对多个标准.Net控件执行跨站脚本攻击。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

26.Microsoft ASP.NET InnerHtml属性远程跨站脚本漏洞
漏洞等级：不详
受影响版本：Microsoft ASP.NET 2.0
漏洞描述：大多数ASP.NET控件都是从HtmlContainerControl继承的，而ASP.NET 2.0没有禁止对其设置InnerHtml属性，这可能导致跨站脚本攻击。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

27.百度空间个人配置文件跨站脚本漏洞
漏洞等级：不详
受影响版本：百度空间
漏洞描述：百度空间的一段JavaScript DOM操作函数在操作DOM时可以允许通过构造一段特殊的HTML代码导致该函数对其进行DOM操作，重新渲染页面，最终导致跨站脚本漏洞。
解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。