新浪“微博蠕虫”系黑客恶作剧

6月28日晚间，一则新浪微博“大面积中毒”的消息在网上快速传开。经360安全中心技术验证，这其实是一个利用新浪网页漏洞而传播的“微博蠕虫”，属于黑客恶作剧行为，并不会真的让中招电脑感染病毒，也不会泄露微博用户密码。目前新浪已修复该漏洞，微博用户完全无需恐慌。

据悉，此次新浪“微博蠕虫”发作始于一个名为hellosamy的微博用户。他利用“3D肉蒲团”、“手机监听软件”等诱惑性标题，把恶意网址通过私信给其他微博用户。当别人点开恶意网址后，网页上的恶意JS脚本会产生三项危害：第一，自动向所有好友群发带有诱惑性标题和恶意网址的私信；第二，自动发布包含恶意网址的微博；第三，自动成为hellosamy的“粉丝”。这样一来，恶意网址就会达到一传十、十传百的快速传播效果。

此“微博蠕虫”的传播原理是利用XSS跨站漏洞攻击，点击恶意网址并不会使电脑中毒或导致密码失窃。此前，利用XSS漏洞传播蠕虫的案例在社交网站中曾多次发生，国外的Facebook、Twitter，国内的QQ空间、百度空间等网站都出现过类似情况。

目前新浪已经修复了此漏洞，该恶意网址也已失效。如果有用户曾点击过该网址，只需删掉自动发布的微博即可，无需修改密码或进行其它操作。