360互联网安全中心多起用户反馈,电脑会被劫持

　　360互联网安全中心多起用户反馈,电脑会被劫持

　　日前，360网络安全中心收到不少用户反馈，电脑莫名其妙会自动弹出游戏、人物、汽车等网页广告。经过分析，发现是phicomm路由器强行在http流量中插入了广告JS。

　　监测数据显示，不仅是主动打开浏览器的用户访问的页面被劫持插入广告，还有酷我音乐、腾讯QQ、搜狗拼音、搜狐新闻、爆风影音等数十个软件的网络请求，等也被劫持，这些软件在后台发出网络请求时被劫持；正如许多用户反映的那样，即使他们不打开浏览器，即使打开了浏览器，也会自动弹出这些强制网络广告。

　　早在今年8月，我们就分析了Phicomm和另外两台路由器的劫持事件：这次我们对劫持影响第三方程序并导致自动弹窗的过程进行了一些分析：

　　360 社区

　　360 社区

　　（Phcomm 路由器劫持配置文件）

　　360 社区

　　（Ad j.js 插入页面）

　　这次插入了一段广告JS代码（hxxp://45.126.123.80:118/j.js?MAC=XXXXXXXXXXXX），最终导致真实页面为插入广告并被欺骗层层，甚至自动弹出广告，严重影响用户体验和企业形象。

　　360 社区

　　（检测浏览器代码片段）

　　特别注意 IE 浏览器（或收录 IE 的用户代理程序）。首先，将执行自动广告弹出窗口。如果没有自动弹出，它会尝试点击然后再次弹出窗口：

　　360 社区

　　（判断不同浏览器点击弹窗/自动弹窗代码片段）

　　例如：酷我音乐kwmusic.exe进程发起网络请求时的User-Agent为："Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident /4.0)"，根据劫持JS中的代码判断，会自动打开一个广告页面：

　　360 社区

　　360 社区

　　360 社区

　　（自动打开的分页游戏广告页面）

　　360 社区