12月6日消息，专家警告，热门的社交网站MySpace出现一段恶意影片，一经播放便可更改使用者的档案，自动植入并增加一个恶意链接。

据CNET报道，根据 *** 安全公司Websense上周五（1日）发出的警报，这段QuickTime影片是利用某个MySpace弱点，和针对苹果计算机预设媒体播放器的JavaScript支持。播放后，该影片将自动加入使用者的MySpace网页，并用钓鱼网站取代资料中的链接。截至4日，MySpace的代表尚未就此响应。

新闻集团（News Corp.）旗下的MySpace是美国相当受欢迎的社交网站，注册会员达7,000万。该蠕虫利用一种普遍的跨站指令 *** 弱点，外加HREF功能。专家表示，HREF原为追踪监控QuickTime的合法使用，但也可能被滥用。

F-Secure首席研究员Mikko Hypponen博客文章写道：“看来我们抓到了一只MySpace蠕虫，利用一个恶意的QuickTime MOV档散布。”他指出，这段恶意影片包含某种JavaScript程序代码，以微软IE浏览器观赏后便自动执行，变更使用者的MySpace档案。他写道：“之后，你的MySpace网页的每个访客都会被感染。”

但一位受害的MySpace使用者对CNET News.com表示，用Firefox浏览器观赏受害网页也会被感染。攻击者的目的显然是要大家造访钓鱼网站，这些恶意网页刻意伪装成MySpace的登入页面，诱骗使用者输入账号密码。

这并非MySpace初次发生安全问题，黑客曾利用该站的弱点窃取个人数据和散布广告软件。此外，某些MySpace使用者也曾利用该站的弱点炒作自己的名气。专家早已警告，随着网站互动性的增强，安全防卫必须优先考虑，而非事后补救。许多网站的开发考虑完全针对功能，忽略了防护。

FaceTime Security Labs指出，被感染的MySpace网页会包含多个恶意网站链接，和正常MySpace页面不会出现的蓝色浏览列。FaceTime恶意软件研究主任 Chris Boyd说：“假如不幸受害，你必须清除自己的档案，并查询你的朋友是否也被感染。”