6月28日晚間,一則新浪微博“大面積中毒”的消息在網(wǎng)上快速傳開。經(jīng)360安全中心技術(shù)驗(yàn)證,這其實(shí)是一個(gè)利用新浪網(wǎng)頁(yè)漏洞而傳播的“微博蠕蟲”,屬于黑客惡作劇行為,并不會(huì)真的讓中招電腦感染病毒,也不會(huì)泄露微博用戶密碼。目前新浪已修復(fù)該漏洞,微博用戶完全無(wú)需恐慌。
據(jù)悉,此次新浪“微博蠕蟲”發(fā)作始于一個(gè)名為hellosamy的微博用戶。他利用“3D肉蒲團(tuán)”、“手機(jī)監(jiān)聽軟件”等誘惑性標(biāo)題,把惡意網(wǎng)址通過(guò)私信給其他微博用戶。當(dāng)別人點(diǎn)開惡意網(wǎng)址后,網(wǎng)頁(yè)上的惡意JS腳本會(huì)產(chǎn)生三項(xiàng)危害:第一,自動(dòng)向所有好友群發(fā)帶有誘惑性標(biāo)題和惡意網(wǎng)址的私信;第二,自動(dòng)發(fā)布包含惡意網(wǎng)址的微博;第三,自動(dòng)成為hellosamy的“粉絲”。這樣一來(lái),惡意網(wǎng)址就會(huì)達(dá)到一傳十、十傳百的快速傳播效果。
根據(jù)360安全中心分析,“微博蠕蟲”的傳播原理是利用XSS跨站漏洞攻擊,點(diǎn)擊惡意網(wǎng)址并不會(huì)使電腦中毒或?qū)е旅艽a失竊。此前,利用XSS漏洞傳播蠕蟲的案例在社交網(wǎng)站中曾多次發(fā)生,國(guó)外的Facebook、Twitter,國(guó)內(nèi)的QQ空間、百度空間等網(wǎng)站都出現(xiàn)過(guò)類似情況。
360安全中心提示用戶,目前新浪已經(jīng)修復(fù)了此漏洞,該惡意網(wǎng)址也已失效。如果有用戶曾點(diǎn)擊過(guò)該網(wǎng)址,只需刪掉自動(dòng)發(fā)布的微博即可,無(wú)需修改密碼或進(jìn)行其它操作。
推薦閱讀
迅雷會(huì)員制度等級(jí)森嚴(yán) 有A片資源很正常
一直以來(lái)外界多關(guān)注迅雷面臨的侵權(quán)訴訟,而對(duì)它在增值服務(wù)板塊如火如荼推進(jìn)的“圈錢運(yùn)動(dòng)”了解甚少。將會(huì)員分為從“列兵”到“聯(lián)軍司令”的60個(gè)等級(jí),并且絞盡腦汁做各種活動(dòng)讓他們乖乖掏錢“買官”,這是迅雷豐潤(rùn)現(xiàn)>>>詳細(xì)閱讀
本文標(biāo)題:360安全中心:“微博蠕蟲”系黑客惡作劇
地址:http://m.sdlzkt.com/a/01/20111230/209618.html