“如果收到我的私信,带有链接,请不要打开,可能有病毒。”昨晚,不少新浪微博用户发现,自己的账户不受控制地发送着奇怪的微博和私信,这些微博和私信中都带有一个短链接,点击链接后,上述症状会“传染”给自己的好友。
昨晚8点半左右,病毒传播至最高潮,很多用户满屏都是类似的病毒微博。至晚上9点25分,情况完全被控制。而新浪微博也通过微博小秘书的账号向广大用户致歉。
瑞星、金山的病毒专家表示,这是一次蠕虫攻击。已知的中毒用户数量,最高曾超过3万。新浪微博2009年10月正式上线以来,用户如此大面积中毒还是首次。
点击链接就会中毒
昨晚8点多,新浪微博用户周先生偶然发现自己的微博会自动发布一些古怪的链接,比如“傻仔拿锤子去抢银行”,甚至还有一些不雅的内容。他立即删除了这些链接,并告知好友们千万不要点击自己发布的链接,否则也有可能会“中毒”。
如周先生一般受到困扰的用户不在少数。不仅是个人用户的微博,就连一些媒体、高校等单位的官方微博也不幸“中招”。晚8点20分左右,病毒传播到最高潮,很多带着V的认证用户开始发送上述奇怪的微博。“新浪科技”、“新浪财经”、“头条新闻”,还有众多报纸、电视台的账号都在纷纷发布这样的信息。每一条信息之后都附带一个网站链接,但点击这些链接后却看不到相关内容,而是进入一个站外网址。
在微博用户们点击这些链接的同时,自身却也陷入了恶意链接的漩涡,自行向更多好友发布附带有恶意链接的私信。
网友发现某账号可疑
集体“中毒”的现象引发了网友们极大的关注。在恶意链接广泛传播的同时,网友们不得不通过自己的方式来阻止病毒的蔓延。
除了迅速地删除了自动发布的私信之外,大多数不幸“中招”的用户纷纷写出提醒,告诉大家自己的微博账号已“中毒”,希望好友不要点击自己发来的私信,也不要点击其他附带链接的古怪信息。细心的网友们还观察到,所有被“传染病毒”的用户在其“关注”一栏中都自动多了一个名为“hellosamy”的账号。许多网友不禁判断,恶意链接的源头想必来自这个账号。随后“hellosamy”的账号被删除,被删前已经感染了至少3万粉丝。
技术人员通过分析攻击代码指出,昨晚的攻击是跨站请求伪造(CSRF,Cross-site request forgery)攻击,这是一种利用恶意代码的蠕虫攻击,利用了新浪存在的某种漏洞来发微博,发私信,加关注。还有人指出,“hellosamy”这个账号的名字,本身也暗示了这种攻击的方式。2005年,首个利用跨站点脚本缺陷的蠕虫samy被创造出来,这个账号应该是黑客向这种攻击方式在致敬。
一个小时清理完毕
面对突如其来的“侵袭”,新浪微博方面昨日表示,这是新浪微博发展近2年来首次面临大规模恶意链接带来的困扰。
据新浪微博方面透露,大约在昨晚8点20分左右,工作人员们发现了恶意链接的问题,并立即展开了定位和修复工作。昨晚8点49分,新浪微博小秘书发布了首条关于恶意链接的公告:“目前微博出现恶意链接,一旦点击会发出多条微博。技术正在紧急处理。”同时,还以图片的形式列出了恶意链接的内容,提醒大家不要点击。
晚上9点13分,微博小秘书贴出第二份公告称微博上恶意链接问题已经修复,用户密码等个人信息不会受影响。晚上9点34分,新浪微博再次向微博网友致歉,并称截至晚上9点25分,微博上的恶意链接数据已清除完毕。
针对网友们反映的“hellosamy”账号存在可疑行迹,新浪微博方面告知早报记者,技术人员已经留意到这一问题,并正对恶意链接事件的原因予以调查。同时,新浪微博方面表示,会充分重视此次事件,并在今后的工作中加强反病毒方面的防御。
◎ 引以为戒 各大微博:严格审核引入链接
新浪微博遭遇恶意链接侵袭的事件也引起了其他微博平台的关注。昨晚,早报记者分别致电腾讯微博与搜狐微博的相关负责人,两位负责人均表示,已经在第一时间得知了该事件。
搜狐微博的负责人表示,此次新浪微博遭受恶意链接侵袭的实例反映了拥有海量用户的互联网所普遍面临的技术上的一种威胁,而该事件也恰恰是一种提示,提醒各网站需要不断提升自己的技术实力,进一步加强重视网络安全上的防范工作。
腾讯微博负责人虽未对新浪微博“中毒”事件予以评论,但也表示,非常重视该事件所带来的警示。“目前腾讯微博对于外连引入的链接都有严格的审核。”该负责人称,通过昨晚的事件,腾讯微博也将在网络安全方面进一步完善自身。“一是要注重对用户账号安全的保障,二是要保证用户不受恶意信息的干扰。此外,该事件还反映出,拥有一个快速的应急、解决的机制非常重要。”
中毒时间表
20:14 开始有大量带V的认证用户中招转发蠕虫
20:30 病毒页面无法访问
20:32 新浪微博中hellosamy用户无法访问
21:02 新浪漏洞修补完毕
用户过亿的新浪微博昨晚大规模中毒。
恶意链接“传染”至少3万用户
21时25分新浪清除恶意链接并向网友致歉
CSRF代码如何步步攻击
严格来说,CSRF并不是一种“病毒”,而是一种恶意代码。CSRF(Cross-site request forgery跨站请求伪造)主要是由攻击者在网页中植入恶意代码或连接,当受害人的浏览器执行恶意代码或者受害人点击连接后,攻击者就可以访问那些被害人身份验证后的网络应用(比如邮箱、微博等需要登录的网络应用)。
如果被害人采用多窗口浏览器,攻击者就可以以被害人身份控制浏览器中任何一个窗口中的Web应用。
微博用户怎么步步中招
根据网友公布的对恶意代码的分析,这段代码主要由6个部分组成:
1 控制被代码感染的微博账号:只要点击了代码,同时新浪微博账号打开着,该账号就会被控制。
2 定义10条私信:被控制的账号,将会随机发送固定的10条微博,并在微博内附上恶意链接继续传播。这10条微博中,有的是伪造的热点新闻,有的则是带有些色情意味,目的就是吸引用户主动点击。
这10条内容分别是:郭美美事件的一些未注意到的细节、建党大业中穿帮的地方、让女人心动的100句诗歌、3D肉团团高清普通话版种子、这是传说中的神仙眷侣啊、惊爆!范冰冰艳照真流出了、杨幂被爆多次被潜规则、傻仔拿锤子去抢银行、可以监听别人手机的软件、个税起征点有望提到4000。
3 定义10条微博:内容和私信一致。
4 发布微博:主动发布上述定义的10条微博,这些微博会被该账号的粉丝看到。
5 强制关注一个账号:在此次事件中,受到感染的账号都强制关注了一个名为hellosamy的账号。
6 发布私信:会向互相关注的账号发送私信,私信内容和上述定义的10条私信相同。
◎ 教你一招 一旦被攻击用户怎么自我解毒
金山毒霸的病毒专家表示,虽然此类代码并不会盗取密码,也不会有后遗症,但短时间内依然有一定的危害。
一旦遭遇此类情况,用户应该:1.不要点开私信里的任何链接;2.把私信接受的权限设置为“我关注的人”;3.马上退出登录。
如果用户点击了有关链接,怀疑自己微博不正常,用户应该:1.立刻退出登录微博;2.马上清空浏览器缓存。
|