【IT168 资讯】6月29日消息，28日晚间，新浪微博遭遇到首次跨站攻击蠕虫(CSRF)侵袭，微博用户中招后会自动向自己的粉丝发送含毒私信和微博，有人点击后会再次中毒，形成恶性循环。

　　据悉，此次新浪“微博蠕虫”发作始于一个名为hellosamy的微博用户。他利用“3D肉蒲团”、“手机监听软件”等诱惑性标题，把恶意网址通过私信给其他微博用户。当别人点开恶意网址后，网页上的恶意JS脚本会产生三项危害：第一，自动向所有好友群发带有诱惑性标题和恶意网址的私信;第二，自动发布包含恶意网址的微博;第三，自动成为hellosamy的“粉丝”。这样一来，恶意网址就会达到一传十、十传百的快速传播效果。

　　“微博蠕虫”的传播原理是利用XSS跨站漏洞攻击，点击恶意网址并不会使电脑中毒或导致密码失窃。此前，利用XSS漏洞传播蠕虫的案例在社交网站中曾多次发生，国外的Facebook、Twitter，国内的QQ空间、百度空间等网站都出现过类似情况。

　　目前新浪已经修复了此漏洞，该恶意网址也已失效。如果有用户曾点击过该网址，只需删掉自动发布的微博即可，无需修改密码或进行其它操作。

　　来自瑞星安全专家的分析，随着用户的活动逐渐转移到云端，类似新浪微博蠕虫这样的攻击将会大量出现，SNS网站将是被攻击的重点。针对类似攻击，用户可以安装杀毒软件及防火墙，可以最大限度阻止蠕虫给用户带来的伤害。同时，给系统打补丁、把浏览器升级到最新版本，可以在一定程度上降低跨站攻击蠕虫的攻击效果。