中文版 Global
首页 > 安全资讯 > 正文

网页篡改 满屏广告 你的斐讯路由器被绑架了

  • 2018-12-03 12:14:43

近日,360互联网安全中心接到多起用户反馈, 电脑会莫名奇妙地自动弹出游戏、人人车等网页广告。经分析发现,是斐讯路由器往http流量强行插入广告JS所致,监测数据表明,不只是用户主动打开浏览器访问的页面被劫持插广告,还有包括酷我音乐、腾讯QQ、搜狗拼音、搜狐新闻、暴风影音等几十款软件的网络请求也被劫持,当这些软件后台进行网络请求时被劫持;正如很多用户反馈的那样就算不打开浏览器的情况下甚至在开机的时候也仍然会被自动弹出过这些强插的网络广告。

早在今年8月份的时候我们就对斐讯及其它两款路由器的劫持问题进行过分析:https://www.anquanke.com/post/id/157677

本次从劫持影响第三方程序导致自动弹窗的过程进行一些分析:

网页篡改 满屏广告 你的斐讯路由器被绑架了


网页篡改 满屏广告 你的斐讯路由器被绑架了


斐讯路由器劫持配置文件

网页篡改 满屏广告 你的斐讯路由器被绑架了

页面被插入广告JS j.js

本次插入一段广告JS代码(hxxp://45.126.123.80:118/j.js?MAC=XXXXXXXXXXXX),最终造成真实页面被插入广告,被蒙层,甚至是自动弹窗广告,严重影响用户体验以及企业形象。

网页篡改 满屏广告 你的斐讯路由器被绑架了

检测浏览器代码片断

针对IE浏览器(或User-Agent包含IE的程序)是有特殊照顾,先进行自动广告弹窗,如果没有自动弹出还会尝试点击时再弹窗:

网页篡改 满屏广告 你的斐讯路由器被绑架了

判断不同浏览器进行点击弹窗/自动弹窗代码片断

例如:酷我音乐的kwmusic.exe进程在进行网络请求时的User-Agent为: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)",根据劫持JS中的代码判断则会自动打开一个广告页面:

网页篡改 满屏广告 你的斐讯路由器被绑架了


网页篡改 满屏广告 你的斐讯路由器被绑架了

自动打开的页游广告页面

反馈较多的几个广告窗:

网页篡改 满屏广告 你的斐讯路由器被绑架了

多益网络神武3广告

网页篡改 满屏广告 你的斐讯路由器被绑架了

传奇游戏广告

对于此类网络劫持,360互联网安全中心建议:

1、普通网民尽量选择更有保障正规厂商品牌路由器,并且保持路由器固件更新。日常上网也可以尝试主动切换到https访问(目前主流站点多已经支持https的访问),避免通讯过程被篡改。

2、各软件厂商及站长可以通过全站升级到HTTPS,可有效防止此类劫持、篡改问题。

3、目前360安全卫士及360浏览器已经对此类插入广告JS进行全面拦截,保持360安全卫士防护开启及使用360浏览器上网可有效过滤掉插入的各类广告。

网页篡改 满屏广告 你的斐讯路由器被绑架了

使用全站Https有效防止此类劫持示意图

附:近一周部分被劫持受影响的软件进程名及被劫持的相关页面:这些程序在网络请求时大多使用了包含"MSIE"字符串的系统默认User-Agent,导致被认定为IE浏览器被劫持自动弹出广告页面。












360安全卫士

热点排行

用户
反馈 返回
顶部