本周关注病毒：“威金蠕虫变种KK（Worm.Win32.Viking.kk）”警惕程度 ★★★★

　　该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。病毒在企业网络的传播、扫描、网络下载等会消耗大量资源，局域网中只要有一台机器中毒，就可能造成全网运行不正常，甚至网络堵塞。并且这些病毒很难清除，根据用户反馈的信息，某些反病毒产品杀毒后会造成某些软件失效。

防范方法

　　1、使用全功能安全软件，有效阻挡通过网页挂马方式传播的病毒；

　　2、安装上网安全助手，自动修复漏洞；

　　近日，江西省通信管理局印发《关于开展木马和僵尸网络专项处置工作的通知》，决定自6月始开展为期5个月的木马和僵尸网络专项处置活动。专项处置活动分动员准备、集中处置和工作总结三阶段进行，重点处置木马和僵尸网络的控制服务器，重要信息系统单位感染木马和僵尸网络的受控计算机。

　　《通知》要求各通信运营企业要抓紧完成互联网接入用户协议的修订工作，6月完成互联网接入用户（含拨号、专线、IDC托管等接入方式）协议的修订，并将新的入网协议下发到全省各营业点。新修订的协议中应明确用户须承担的网络安全保障责任；要加强互联网公用IP地址管理工作，每月向省通信管理局报送一次静态IP地址；要加强对木马和僵尸网络的处置工作，按照省通信管理局定期下发控制服务器和受控计算机的IP地址列表，督促、指导相关接入用户完成处置工作，处置工作应在5个工作日内完成；要利用报纸、门户网站等媒体，及时通报省内感染木马和僵尸网络的情况，宣传报道木马和僵尸网络的危害，向用户普及有关木马和僵尸网络防范的知识。

　　据统计，江西省感染木马的计算机6400台，感染僵尸网络1.1万台。此次专项工作，将集中处置一批木马和僵尸网络的控制服务器及受控计算机，以达到全省感染木马和僵尸网络的计算机数量明显减少，公共互联网环境得到进一步净化，公众的网络安全意识得到有效提升的目的。

　　为规范通信行业互联网网络安全信息通报工作，促进网络安全信息共享，提高网络安全预警、防范和应急水平，工业和信息化部公布《互联网网络安全信息通报实施办法》，本办法自2009年6月1日起实施。

　　办法要求门户网站、搜索引擎服务商通报的安全信息项目包括：网络接入链路中断或拥塞；系统瘫痪、遭到入侵或控制、应用服务中断等；用户数据被篡改、丢失等；垃圾邮件发现和处置情况；系统感染恶意代码情况；网页篡改、网络仿冒等情况。

　　据悉，《办法》将信息安全分为特别重大、重大、较大、一般共四级。预警信息分为一级、二级、三级、四级，分别用红色、橙色、黄色、蓝色标识，一级为最高级。据规定，一旦遭遇上述事故在内的一级预警信息信息报送单位应于2小时内向通信保障局及相关通信管理局报告，同时抄送中国网络安全管理中心。

　　值得注意到是，《办法》提高了木马病毒在安全事故中的预警级别。《办法》规定，“涉及全国范围或省级行政区域的大范围病毒和蠕虫传播事件，或单个木马和僵尸网络规模达100万个以上IP，对社会造成特别重大影响”，以及“发生涉及重要信息系统网站、重要门户网站的网页挂马事件，受影响网站用户达100万人以上，造成特别重大社会影响”等事故，均为一级（红色）预警信息。

　　第一条 为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为，净化网络环境，维护我国公共互联网安全，依据《中华人民共和国电信条例》、《互联网网络安全应急预案》，制定本办法。

　　第二条 木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制 服务 器控制的受害计算机群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。

　　第三条 本办法适用于对危害公共互联网安全的木马和僵尸网络控制端（以下简称木马和僵尸网络）及其使用的IP地址和恶意域名的监测和处置。

　　第四条 工业和信息化部指导、组织、监督全国木马和僵尸网络的监测和处置工作。工业和信息化部通信保障局（以下简称通信保障局）负责具体工作。

　　各省、自治区、直辖市通信管理局（以下简称通信管理局）指导、组织、监督本行政区域内木马和僵尸网络的监测和处置工作。

　　国家计算机网络应急技术处理协调中心（以下简称CNCERT）受通信保障局委托，负责对木马和僵尸网络的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、核实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域名。

　　基础电信运营企业负责对本单位网内木马和僵尸网络进行监测、核实，对CNCERT汇总通报的涉及本单位的木马和僵尸网络进行处置和反馈。

　　互联网域名注册管理机构负责对CNCERT通报的由自身管理的恶意域名进行处置。对于由国内互联网域名注册服务机构注册的由境外域名注册管理机构管理的域名，由CNCERT直接协调国内互联网域名注册服务机构进行处置。

　　第五条 基础电信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、国内互联网域名注册服务机构在提供互联网接入服务、域名解析服务时，应在与用户签订的服务协议、合同中告知用户承担的网络安全保障责任。

　　第六条 CNCERT、基础电信运营企业应不断的提高木马和僵尸网络的监测能力。CNCERT、基础电信运营企业、互联网域名注册管理机构、国内互联网域名注册服务机构应建立健全本单位的处置机制，协同配合、快速处置，共同做好木马和僵尸网络的监测和处置工作。

　　去年5月，江苏省水利厅政务网站“江苏水利网”页面无法打开，疑被黑客侵入。该网站主要承担公文办理、汛情传递等重要任务，日访问量5000人次。当时，江苏全省已进入汛期，该网站能否正常运行将直接影响该省防汛工作。5月6日，江苏省水利厅向南京警方报案。南京市公安局网络警察支队接警后，即会同南京鼓楼公安分局组成专案组，立案侦查。

　　在江苏省公安厅网警总队的指导下，专案组围绕江苏省水利厅网站被黑客攻击案，开展勘查取证、追查抓捕等侦查工作。去年5月14日至6月6日，专案组在湖北宜昌、潜江及广西桂林等地抓获何某等6名犯罪嫌疑人，侦破水利厅网站被攻击案。

　　专案组发现，犯罪嫌疑人攻击水利厅网站的目的，是为了在该网站上植入一款名为“大小姐”的木马盗号程序，而不少网络游戏账号都被该程序盗取过。此情况引起公安部重视，公安部指定南京市公安局管辖“大小姐”系列木马病毒案，并于7月1日挂牌督办。

　　经艰苦工作，专案组分别于6月13日在上海，6月24日在四川广元、绵阳，10月10日在湖南长沙抓获了制作传播“大小姐”系列木马病毒、涉嫌破坏计算机信息系统的团伙组织者王某、编写者龙某及销售总代理周某等10人。

　　经警方审查，上述犯罪嫌疑人均交代了作案经过。犯罪嫌疑人王某以牟利为目的，自2006年下半年开始，雇用犯罪嫌疑人龙某先后编写了40余款针对国内流行网络游戏的盗号木马。王某拿到龙某编写的木马程序后，对外谎称为自己所写，同时寻找代理人销售，先后通过周某等人在网上总代理销售盗号木马，该木马系列在传播销售时被命名为“大小姐”木马。

　　购买了“大小姐”木马的犯罪嫌疑人，分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏盗号。今年2月 23日，专门负责盗号并销售游戏装备的犯罪嫌疑人张某在湖南益阳落网。在他的账户中，警方查获现金30余万元。由此警方揭开了这个涉嫌制造、传播木马程序团伙的获利黑幕。

　　经查，王某靠销售“大小姐”木马程序已获利1400余万元。据介绍，这些人先将非法链接植入正规网站，用户访问网站后，会自动下载盗号木马。当用户登录游戏账号时，游戏账号就会自动被盗取。犯罪嫌疑人将盗来的账号直接销售或者雇用人员将账号内的虚拟财产转移出来，销售牟利。

　　据南京网警支队介绍，“这是一条黑色产业链”。统计显示，这些人制作、传播的“大小姐”系列木马有40余款，分别针对40余种主流网络游戏进行盗号，占据了我国“木马盗号市场”60%以上的份额，警方认为其“危害极大”。

　　警方认为，上述犯罪嫌疑人通过互联网传播木马程序的行为，造成了网络游戏公司服务端与客户端计算机系统正常通讯功能部分丧失，严重影响了40余款网络游戏运营公司计算机信息系统的正常运行，造成了重大经济损失。

　　据悉，目前该案已移送南京市鼓楼区检察院审查起诉。在南京警方的表彰大会上，侦破“大小姐”系列木马病毒专案组被上级公安机关荣记集体二等功。