北京時(shí)間6月28日晚間消息 新浪微博遭遇到首次跨站攻擊蠕蟲(CSRF)侵襲，微博用戶中招后會(huì)自動(dòng)向自己的粉絲發(fā)送含毒私信和微博，有人點(diǎn)擊后會(huì)再次中毒，形成惡性循環(huán)。據(jù)瑞星安全專家分析，這主要是因?yàn)樾吕说膹V場頁面有幾個(gè)鏈接對(duì)輸入?yún)��?shù)過濾不嚴(yán)導(dǎo)致的反射性XSS。

　　微博用戶中毒之后，會(huì)自動(dòng)發(fā)送一條誘惑性的含毒微博，比如：“3D肉蒲團(tuán)種子，http:#####”;加一個(gè)病毒作者設(shè)定的ID為關(guān)注對(duì)象;同時(shí)向自己所有的粉絲發(fā)送誘惑性私信，以此來進(jìn)一步傳播。

　　瑞星正在緊急升級(jí)惡意域名黑名單，把發(fā)動(dòng)攻擊的域名2kt.cn加入黑名單進(jìn)行封殺，以此阻止蠕蟲的進(jìn)一步侵襲。至發(fā)稿時(shí)為止，在新浪微博搜索，約有數(shù)十萬條相關(guān)結(jié)果。瑞星在新浪微博的官方賬號(hào)也接收到了含毒私信，可見此次攻擊涉及范圍之廣。