安全公告： CN-SA09-06
发布日期：2009年4月23日
事件类型：蠕虫
威胁评估： 中
受影响的软件：
    Windows 操作系统
事件描述：
    根据CNCERT在4月13日至19日的监测，“飞客”（Conficker）蠕虫目前继续在互联网上传播，受染主机的IP数量较4月13日之前相比有所增长，维持较为平稳的态势。虽然目前尚未发现黑客利用受染主机发动大规模网络攻击的情况，但鉴于受染主机数量巨大且仍然上升，受染主机构成的僵尸网络仍旧是目前最令人关注的一大网络威胁。
    自4月13日至4月19日，CNCERT共监测发现国内外1246.8万个IP地址感染Conficker.b，其中位于我国大陆的有306.8万个；国内外约有325.9万个IP地址感染Conficker.c，其中位于我国大陆的有74.2万个。CNCERT及时向已建立合作机制的重要信息系统用户通知了其感染“飞客”蠕虫的IP地址。如果其他政府部门或重要信息系统单位需要CNCERT协助提供感染地址，请与我们联系。
    此外，赛门铁克称其近期监测到一些垃圾邮件试图利用用户对Conficker的恐慌，提供一些号称可使用户抵御Conficker威胁的最新防病毒安全软件，然而用户一旦点击进入，就可能被引入非法页面，甚至被网络攻击者盗走个人信息。在此提醒广大用户提高安全意识，并做好有关安全防范工作。
    CNCERT 联系电话： 010-82990999，联系邮箱： cncert@cert.org.cn
详细数据统计：
1、从飞客蠕虫每日感染IP数量的变化趋势来看，Conficker.b和Conficker.c的感染IP数量变化呈现较为平稳的态势，具体如图1所示：

                                       图1：飞客蠕虫每日感染IP数量趋势图
2、从飞客蠕虫在世界范围内的感染分布情况来看，我国大陆仍是疫情最为严重的地区。Conficker.b和Conficker.c感染IP按国家或地区的分布情况分别如图2和图3所示：

                                        图２：Conficker.b感染IP数量按国家或地区分布

                                       图３：Conficker.c感染IP数量按国家或地区分布

３、从飞客蠕虫在我国各地区的感染分布情况来看，广东和浙江的数量最多。Conficker.ｂ和Conficker.ｃ感染IP的境内分布情况分别如图4和图5所示：

                                        图４：Conficker.b感染IP数量的境内分布

                                         图５：Conficker.c感染IP数量的境内分布

参考信息：
http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_report_04-2009.en-us.pdf
文档编写：

CNCERT/CC
-----------------------------------------------------------------------------------

　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident

　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。

　　如果您发现本公告存在任何问题，请与我们联系： cncert@cert.org.cn