2015年1月教育网整体运行平稳，未发现严重的安全事件。

　　病毒与木马

　　近期一个名叫CTB-Locker（比特币敲诈者）的病毒在国内开始出现，病毒主要通过电子邮件的附件进行传播，用户一旦感染了该病毒，系统中的所有数据资料（包括文档、图片、视频等114种数据文件类型）将会被病毒加密，病毒制作者要求被感染的用户向其支付8个比特币后才能获取到解密的密钥。由于病毒加密文件使用的是不可逆的RSA加密算法，且病毒制作者为了躲避追踪，将支付赎金比特币的过程及解密密钥的存储都通过匿名的TOR网络来完成，这导致被感染者只能通过支付赎金获取密钥这种办法来解密文件。而对比特币和TOR网络的陌生使得国内被感染的用户几乎不太可能在病毒作者要求的时间内完成支付比特币获取密钥的操作，因此这个病毒对国内的感染用户带来的损失几乎是毁灭性的。

　　值得注意的一个问题是，该比特币敲诈者并非是一个全新出现的病毒，它的家族实际上在2014年年中就被很多杀毒软件所捕获并且识别。但这次病毒传到国内后，依然有不少用户被感染，说明这些用户系统的杀毒软件根本没起作用。究其原因可能还是国内安全软件的生态问题，很多用户机器上装了不止一种安全软件，但是这些安全软件相互制约导致最终所有的杀毒软件都不在正常工作的状态下，使得病毒乘虚而入。

　　近期新增严重漏洞评述

　　微软2015年1月的例行安全公告共8个，其中1个为严重等级，7个为重要等级。这些公告共修补了Windows系统中存在的8个安全漏洞。相关详细信息请参见：https：//technet.microsoft.com/zh-CN/library/security/ms15-Jan。除微软外，Adobe公司也发布了2015年1月的例行安全公告，本次公告共一个，主要用于修补Flash player 软件中的9个安全漏洞。http：//helpx.adobe.com/security/products/flash-player/apsb15-01.html。

　　一个需要额外关注的漏洞是Glibc 库中存在的一个本地及远程缓冲区溢出漏洞。由于漏洞可以通过Glibc 中的 gethostbyname*（）函数来利用，所以被命名为Ghost 漏洞，中文名字叫幽灵漏洞。这个漏洞影响当前大部分的Linux系统。

　　该漏洞存在于Glibc库__nss_hostname_digits_dots 函数中，该函数用于校验主机名是否是IPv4或IPv6地址，如果是则跳过DNS查询以加快程序的运行速度。__nss_hostname_digits_dots 函数中定义了HOST_ADDR，h_addr_ptrs，h_alias_ptr 和hostname四个实体的存储指针，但是在计算存储缓冲区大小时仅计算了HOST_ADDR，h_addr_ptrs和name（hostname），漏掉了计算h_alias_ptr的大小，这导致之后的strcpy（hostname，name）操作可能存在缓冲溢出的可能。这个漏洞可以通过Glibc库中的gethostbyname *（）函数来触发。

　　Linux系统中有诸多的服务调用了Glibc库中的gethostbyname*（）函数，由于漏洞利用有诸多的限制，并不是所有调用了这些函数的服务（如ping、arping、mount.nfs、mtr）都可以利用，但是依然有部分的服务（如clockdiff、procmail、ms-dns、pppd等）可以被本地及远程利用。目前漏洞的发现者Qualys公司已经实现了对Exim SMTP 邮件服务器的远程攻击，只需向服务器发送一封特制的电子邮件就能完全控制邮件服务器。