有大约24个MySpace页面被黑客嵌入了恶意代码,这些代码会将危险的僵尸程序下载到受害者的电脑里。
互联网风暴中心的研究人员警告用户说,“路过式”攻击的代码已经被嵌入数十个合法的MySpace页面中。
互联网风暴中心首席技术官Johannes Ullrich告诉《信息周刊》,嵌入Web页面的恶意代码将会安装新型危险僵尸程序FluxBot。
Ullrich介绍说,由于这种僵尸程序没有控制中枢,而是依靠复杂多变的代理服务器网络生存,因此很难从受感染的系统中阻止或清除它。
“看起来这是一种折衷的考虑”,Ullrich说,“黑客袭击了几十个页面,而MySpace在不断修复这些页面。……在这种情况下僵尸网络反应非常快。”
Ullrich解释说,嵌入的恶意代码试图攻击一个微软老版本IE浏览器的漏洞,这个漏洞在2006年中期得到修正。如果攻击成功,FluxBot就会被下载到这台电脑上。
“从这一点来看,这个IE漏洞并不是非常的危险,但是还是有相当多的人遭到攻击”,他补充说,“我猜测很多人都在使用未修正版本的IE浏览器。”
Ullrich还指出,MySpace并不是黑客的新目标,但针对它的攻击却日益增多。虽然MySpace公司有一套严密的安全机制,但是它允许用户创建自己的页面,这显著的增加了被攻击的概率。
这意味着最诚实的人很可能创建一个很容易被黑客利用的页面,但也意味着电脑犯罪者能够冒充一个日常使用者,并建立他们自己的恶意网页去劫持其他MySpace用户。
“MySpace的用户众多,并且它允许人们编辑自己的网页”,Ullrich说,“人们一般都信任MySpace网站,所以他们访问的时候并没有禁用JavaScript。MySpace公司可能是值得信任的,但是用户建立的网页内容却并非如此。”
今年二月份,两名男子被控图谋编写恶意代码敲诈MySpace公司15万美元,他们没有为自己的罪行辩护。还有两名纽约人Shaun Harrison和Saverio F Mondelli被控告未经许可侵入他人计算机。
洛杉矶代理公诉人Jeffrey McGrath说,还有三宗相关起诉已经结案,这些案件包括企图敲诈和未经许可侵入他人计算机。
