CNET科技资讯网12月5日国际报道 专家警告称，在播放时，MySpace.com上的一段恶意录像能够修改用户的档案，增添指向欺诈网站的链接。

在上周五发布的安全警报中，安全厂商Websense表示，这段录像是一个非法的QuickTime文件，它利用了MySpace上的一个缺陷，支持苹果的嵌入式QuickTime播放器的JavaScript技术。

Websense称，当被播放时，这段恶意录像会将自己添加到用户的MySpace网页上，用指向钓鱼式攻击网站的链接取代用户档案中的链接。

本周一，MySpace的一名代表说，她不能就该蠕虫病毒立即发表评论。

MySpace是一个受到用户欢迎的社交网络网站，注册用户达到了7000万。该蠕虫利用了一种常见类型的Web缺陷——跨站点缺陷，以及QuickTime中一项名为HREF跟踪的功能。

上周六，安全厂商F-Secure的首席研究官员米科在一篇博客中写道，我们已经发现了一个MySpace蠕虫，它利用恶意的QuickTime MOV文件进行传播。这段恶意QuickTime录像包含有一些JavaScript代码，当使用IE浏览器浏览被感染的网页时，JavaScript代码会自动运行。它会修改用户的MySpace档案，米科说，此后，所有访问你的档案网页的用户都会受到感染。

这一攻击的目标似乎是让用户访问钓鱼式攻击网站，这些恶意网页看起来与MySpace的登录网页非常相似，会提醒用户输入他们的MySpace资料。

这并非MySpace首次面临威胁。黑客此前已经利用MySpace的普及性窃取用户的个人资料和传播广告件。另外，一些黑客还利用MySpace中的弱点为自己扬名立万。

专家曾经警告，随着网站越来越具有交互性，安全需要被首先考虑，而不能“亡羊补牢”。他们说，仍然有许多网站在开发时首先考虑的是功能，安全问题则被忽略了。

据FaceTime Security Labs的研究人员称，被感染的MySpace网页将包含有指向欺诈性网站的链接，以及在MySpace网页上不常见的蓝色导航条。FaceTime负责恶意件研究的主管克里斯在一篇博客文章中写道，如果被感染，用户需要清除自己的档案，并检查朋友是否也受到了感染。





来源：CNET科技资讯网