360互联网安全中心接到多起用户反馈,电脑会奇妙地自动弹出游戏、人人车等网页广告

360互联网安全中心接到多起用户反馈,电脑会奇妙地自动弹出游戏、人人车等网页广告

近期，360互联网安全中心收到不少用户反馈，电脑会莫名弹出游戏、人人车等网页广告。经分析发现，是由斐讯路由器在http流量中强行插入广告JS导致的。监控数据显示，不仅用户主动打开浏览器访问的页面被劫持并插入广告，就连酷我音乐、腾讯QQ、搜狗拼音、搜狐新闻、暴风视频等数十款软件的网络请求也被劫持。这些软件在后台进行网络请求时，就被劫持；正如不少用户反映的那样，即使没有打开浏览器，甚至在开机状态下，这些强行插入的网络广告依然会自动弹出。

早在今年8月份，我们就对斐讯等两家路由器的劫持问题进行了分析：/post/id/

本次我们来分析一下劫持影响第三方程序导致自动弹窗的过程：

斐讯路由器劫持配置文件

插入页面的广告

此次恶意代码中插入了一段广告JS代码（hxxp://45.126.123.80:118/j.js?MAC=），最终导致广告被插入到真实网页中、被屏蔽，甚至自动弹窗，严重影响了用户体验和企业形象。

检测浏览器代码片段

特别注意IE浏览器（或User-Agent包含IE的程序），优先显示自动弹窗广告，若无自动弹窗，点击时会弹出弹窗：

确定不同浏览器点击弹窗/自动弹窗的代码片段

例如，酷我音乐.exe进程发起网络请求时，User-Agent为：“/4.0(;MSIE 7.0;NT 5.1;/4.0)”，根据被劫持的JS中的代码，会自动打开广告页面：

自动打开页游广告页