Chikoo's Blog

我们从成都接到一份报告和图片,以下是整理后的报道文字:
cnBeta上看到大家声讨中国电信,从我目前了解来看,全国恐怕更多的省份是用的Push流氓广告业务,中国电信招标Push业务,不知不觉中挟持大家的http,推出的一种所谓"ADSL推送式广告".而且,已经有技术人士愤怒地指出,这可能是有人在“在某个或某几个关键网络节点上安装了inject设备,从而劫持了用户的HTTP会话”.(含"效果图")

首先来看一份今年4月份就有的报告:

分析一下源代码:
居然被人挟持了http协议,强插了一条广告!!!原来是什么雪花啤酒、死海,原来采用的类似浮动广告,被网络骂死了,现在居然用frame了,我真是服那批人了.

...........
左右两边的小图片地址是:
http: // sc.vnet.cn/06vnet_images/ 0515_100_100.gif
也就是所谓的互联星空干的事情.

初步估计的技术步骤:

A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话.这个设备按照某种规律,对于某些HTTP请求进行特殊处理.

B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端.这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应.而任何正常的服务器都不可能在这么短的时间内做出回应.

C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受.

D、浏览器会重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口.

果真如此的话,那真是太可怕了.

附:投递者的解决问题步骤:

1.电话10000,讲解有广告,明确告诉客服,我是投诉“增值业务部门”增加的强行广告;特别要强调是投诉增值业务部门,特别告诉他们不要转到ADSL运营部门去了.
2.投诉电信PUSH业务.这个业务叫PUSH 强推广告业务,电信增值业务部门正在招标和测试.所以特别要强调,请把我的adsl帐号用测试名单中去掉.特别强调从push 广告业务测试中去掉自己.
3.多次要求投诉增值业务部门,告知该强行广告是强插到他人网站了.如果客服搪塞说是网站广告,请严厉的告诉电信客服,我自己的网站也被强行插入广告了!
4.多打几次,我前后打了7次之多,成功排除了我家和公司的强插广告.
5.每次注意记下客服人员编号.
6.该PUSH业务本身具有过滤用户功能,且记录了adsl用户的用户名等信息的,可以过滤不对某用户插入广告.我们下一步目标恐怕要是抵制不法厂商推出这种解决方案给电信单位.

cnBeta综合投递和一些信息报道.

cnBeta专题独家报道:关注终极流氓软件

也许流氓已经成了趋势,我们的稿件发出之后,有相当数量的网友发来了他们的遭遇,许多大学宿舍和家庭无法使用路由器工作,我们归纳了一下,星空极速软件的主要负面作用有三:
1.安装了此软件,你的MAC就会被发回电信终端,然后利用MD5运算出新密码拒绝已绑定的MAC结合别的PPPoE程序拨号.
2.向用户发送大量广告,难以控制又不可删除这个客户端,否则就无法上网.
3.涉嫌收集和泄露用户数据.
比起只影响IE的流氓软件,这才是真正的小巫见大巫.(内含部分推广相关的文字,可以看出,电信员工自己也很无奈)
Update:附第一个解密这个程序的Blog:Misanthropic