新浪微博遭遇蠕虫病毒 病毒藏在诱惑性微博中
6月29日消息 昨日晚,新浪微博遭遇到首次跨站攻击蠕虫(CSRF)侵袭,微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。当晚9点12分,新浪发布公告称,微博恶意链接已经修复,用户密码等个人信息并未受到影响。
微博用户中毒之后,会自动发送一条诱惑性的含毒微博,比如:“3D肉蒲团种子,http:#####”;加一个病毒作者设定的ID为关注对象;同时向自己所有的粉丝发送诱惑性私信,以此来进一步传播。
据瑞星安全专家分析,这主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。
瑞星安全专家介绍说,此次蠕虫攻击的危害,仅限于滥发含毒私信和链接,未能实现窃取微博帐号、窃取用户信息等功能,用户可以不必过于恐慌。
据悉,这是国内首度发生大范围的SNS病毒。