近日,360互聯網安全中心接到多起用戶反饋, 電腦會莫名奇妙地自動彈出遊戲、人人車等網頁廣告。經分析發現,是斐訊路由器往http流量強行插入廣告JS所致,監測數據表明,不只是用戶主動打開瀏覽器訪問的頁面被劫持插廣告,還有包括酷我音樂、騰訊QQ、搜狗拼音、搜狐新聞、暴風影音等幾十款軟件的網絡請求也被劫持,當這些軟件後臺進行網絡請求時被劫持;正如很多用戶反饋的那樣就算不打開瀏覽器的情況下甚至在開機的時候也仍然會被自動彈出過這些強插的網絡廣告。
早在今年8月份的時候我們就對斐訊及其它兩款路由器的劫持問題進行過分析:https://www.anquanke.com/post/id/157677
本次從劫持影響第三方程序導致自動彈窗的過程進行一些分析:
斐訊路由器劫持配置文件
頁面被插入廣告JS j.js
本次插入一段廣告JS代碼(hxxp://45.126.123.80:118/j.js?MAC=XXXXXXXXXXXX),最終造成真實頁面被插入廣告,被蒙層,甚至是自動彈窗廣告,嚴重影響用戶體驗以及企業形象。
檢測瀏覽器代碼片斷
針對IE瀏覽器(或User-Agent包含IE的程序)是有特殊照顧,先進行自動廣告彈窗,如果沒有自動彈出還會嘗試點擊時再彈窗:
判斷不同瀏覽器進行點擊彈窗/自動彈窗代碼片斷
例如:酷我音樂的kwmusic.exe進程在進行網絡請求時的User-Agent為: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)",根據劫持JS中的代碼判斷則會自動打開一個廣告頁面:
自動打開的頁遊廣告頁面
反饋較多的幾個廣告窗:
多益網絡神武3廣告
傳奇遊戲廣告
對於此類網絡劫持,360互聯網安全中心建議:
1、普通網民儘量選擇更有保障正規廠商品牌路由器,並且保持路由器固件更新。日常上網也可以嘗試主動切換到https訪問(目前主流站點多已經支持https的訪問),避免通訊過程被篡改。
2、各軟件廠商及站長可以通過全站升級到HTTPS,可有效防止此類劫持、篡改問題。
3、目前360安全衛士及360瀏覽器已經對此類插入廣告JS進行全面攔截,保持360安全衛士防護開啟及使用360瀏覽器上網可有效過濾掉插入的各類廣告。
使用全站Https有效防止此類劫持示意圖
附:近一週部分被劫持受影響的軟件進程名及被劫持的相關頁面:這些程序在網絡請求時大多使用了包含"MSIE"字符串的系統默認User-Agent,導致被認定為IE瀏覽器被劫持自動彈出廣告頁面。
相關推薦
