![33194f4ae5b1517b0ca1b023f7f84cb0.png](https://img-blog.csdnimg.cn/img_convert/33194f4ae5b1517b0ca1b023f7f84cb0.png)
日前,360互联网安全中心接到多起用户反馈, 电脑会莫名奇妙地自动弹出游戏、人人车等网页广告。经分析发现,是斐讯路由器往http流量强行插入广告JS所致,监测数据表明,不只是用户主动打开浏览器访问的页面被劫持插广告,还有酷我音乐、腾讯QQ、搜狗拼音、搜狐新闻、暴风影音等几十款软件的网络请求也被劫持,当这些软件后台进行网络请求时被劫持;正如很多用户反馈的那样就算不打开浏览器的情况下甚至在开机的时候也仍然会被自动弹出过这些强插的网络广告。
早在今年8月份的时候我们就对斐讯及其它两款路由器的劫持问题进行过分析:https://www.anquanke.com/post/id/157677
本次从劫持影响第三方程序导致自动弹窗的过程进行一些分析:
![9603a17ce250410487698943090e5e0a.png](https://img-blog.csdnimg.cn/img_convert/9603a17ce250410487698943090e5e0a.png)
![8fdb22da382b4d82b084e9d12b643332.png](https://img-blog.csdnimg.cn/img_convert/8fdb22da382b4d82b084e9d12b643332.png)
![e7016b61d60e8596b5209a3dec198f61.png](https://img-blog.csdnimg.cn/img_convert/e7016b61d60e8596b5209a3dec198f61.png)
本次插入一段广告JS代码(hxxp://45.126.123.80:118/j.js?MAC=XXXXXXXXXXXX),最终造成真实页面被插入广告,被蒙层,甚至是自动弹窗广告,严重影响用户体验以及企业形象。
![0f44a2400c71fec4528acf8685c89af0.png](https://img-blog.csdnimg.cn/img_convert/0f44a2400c71fec4528acf8685c89af0.png)
针对IE浏览器(或User-Agent包含IE的程序)是有特殊照顾,先进行自动广告弹窗,如果没有自动弹出还会尝试点击时再弹窗:
![0e120bf2b30b6c1a55a984704d9158f3.png](https://img-blog.csdnimg.cn/img_convert/0e120bf2b30b6c1a55a984704d9158f3.png)
例如:酷我音乐的kwmusic.exe进程在进行网络请求时的User-Agent为: “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)”,根据劫持JS中的代码判断则会自动打开一个广告页面:
![f675a689c13fdf86759e9e350a62c51c.png](https://img-blog.csdnimg.cn/img_convert/f675a689c13fdf86759e9e350a62c51c.png)
![35189f273cfc261a9b82375c5fe7f403.png](https://img-blog.csdnimg.cn/img_convert/35189f273cfc261a9b82375c5fe7f403.png)
![2d4a54283ee81b249c7cdb4d687bfb1c.png](https://img-blog.csdnimg.cn/img_convert/2d4a54283ee81b249c7cdb4d687bfb1c.png)
使用全站Https有效防止此类劫持示意图:
对于此类网络劫持,360互联网安全中心建议:
1、普通网民尽量选择更有保障正规厂商品牌路由器,并且保持路由器固件更新。日常上网也可以尝试主动切换到https访问(目前主流站点多已经支持https的访问),避免通讯过程被篡改。
2、各软件厂商及站长可以通过全站升级到HTTPS,可有效防止此类劫持、篡改问题。
3、目前360安全卫士及360浏览器已经对此类插入广告JS进行全面拦截,保持360安全卫士防护开启及使用360浏览器上网可有效过滤掉插入的各类广告。