MySpace 與 JS.Qspace 攻擊

MySpace 的熱力感染了無數青少年，在流量方面自然也同等耀眼，然而有光就有影，它也遭受了不少惡意的覬覦。前幾天 MySpace 遭受了一個複合式的攻擊，被取名為 JS.Qspace。這個攻擊式經由一個 QuickTime 多媒體檔案 (.mov) 觸發，個人猜想應該是 HREF tracks 功能，而這也類似我之前提到的問題。

使用者透過 QuickTime Player 開啟這個 JS.Qspace MOV 檔案時，會自動載入一個遠端的 JavaScript，並修改 MySpace 中的個人資料，並利用嵌入的方式，寫入一個假的選單列以連結到 Phishing MySpace 網站，同時留下一張圖片，連結到 JS.Qspace QuickTime 檔案，以確保持續散佈。而該 Phishing MySpace 則用以騙取使用者帳號密碼，及提供廣告程式的連結。可說是同時運用了 Worm、XSS、Phishing 及 Adware 等特性。

順帶一提，為了解決另一項頭痛的問題，MySpace 本週二宣佈預備啟動 Sentinel Safe 機制，透過政府建檔的 550,000 名性罪犯名單，交叉比對會員資料，以排除有潛在犯罪可能之使用者。