starsoft

关于电信链路中的网通广告 原文地址：http://www.cnbeta.com/modules.ph ... rticle&sid=8674

那天刚装好 Vista 5219,上网,发现了浏览器左侧的网通广告.后来返回 XP(在另一块硬盘上),也发现此问题,所以基本排除了是本机的 ADWARE 和病毒在作怪,这只可能是ISP的原因.由于当时我是这样认为的,所以没有进一步追踪.知道后来在论坛上发现了同样遭遇的网友,进一步证实了我的判断...


相关的一些帖子如下：

http://bbs.db.kingsoft.com/viewt ... age=1#pid1534553508
http://bbs.db.kingsoft.com/viewt ... ghlight=&page=1
http://bbs.db.kingsoft.com/viewt ... ghlight=&page=1
http://bbs.db.kingsoft.com/viewthread.php?tid=557430&fpage=1
http://www.anti-vir.cn/bbs/htm_data/11/0506/179.html
http://www.ronnier.com/default.asp?date=2005-5-10
http://www.ppxbbs.com/archiver/?tid-335055.html
http://forum.ikaka.com/topic.asp?board=67&artid=7201939
http://bbs.winzheng.com/viewthread.php?tid=836991&fpage=5
http://bbs.winzheng.com/viewthread.php?tid=835974&fpage=14
http://www.51nb.com/forum/viewthread.php?tid=262221




具体情况可能有所不同，有的是弹出窗口，有的是左侧frame，具体的截图请到以上地址查看。不过查实所有的广告都来源于同一IP 218.25.255.170。之前也有天津电信ADSL的用户反映是 61.136.57.198。具有拦截功能的浏览器会提示拦截如下网页：


http://218.25.255.170/pp2005082901.html



此网页中嵌入的代码如下（由于发布系统的原因，我加入了一些空格）：


try{var tmp=parent.window.location.href}catch(e){window.location.reload();}



其中http://61.136.57.198/frame.html?url='+window.location;'又是一个框架. window.location把当前url追加在frame.html后. 例如
http://61.136.57.198/frame.html?url=http://www.google.com



...
document.write("n");
document.write("n");
...



我在百度中搜索了一下：
http://www.baidu.com/s?tn=GreenB ... 70&cl=3&f=8



有人打电话到电信询问，回复是他们那边中了病毒...
本人相信这也是此事最合理的解释：电信的链路被劫持！这个东西是在传输过程中加入进去的，并非来自原网站。不过在 ISP 的服务器上植入这一代码实在是太强了，也非常的聪明。不过这一幕后黑手是何方神圣呢？就不得而知了...

windbuss

不是的

gongyushi

支持一下

亡灵法师

拜托，后面的朋友们不是都说了不关TW的事么？不能只有楼主的TW有广告，大家的没有吧？

258369

不会吧？凤凰工作室绝对不会做出这种事！