起因

起因是朋友提醒我说我的博客有弹窗，我测试了IE8,Firefox，和chrome,都没有出现过这个问题，但是他那里一直弹，如下图：

弹窗代码是迅雷的游戏广告，我找了几位网友测试了下他们那都没有弹窗（在此再次感谢参与的网友）。而且朋友测试只有IE弹，Firefox是不弹的。在把源代码一行一行看了一遍以后，没有发现调用的迹象，打开一个和我在同一个IP的网站，人家的网站也没有弹窗，应该也不是ARP的缘故。

分析

这时候，朋友说有可能是google分析的原因，我去下了google分析以后，果然朋友那不再弹窗了。至于怎么发现是google分析的引起的，听说慢慢说来：

大家都知道IE的临时文件夹是个“藏污纳垢”的地方，杀毒软件杀出病毒木马很多都是在这个地方，打开临时文件夹看了下，弹出的广告上面是google分析调用的js（默认是按时间排序的）.顺序如下，

于是初步判断是google分析出了问题，在撤掉google分析后不再弹窗也确定了这个判断。那么google分析怎么会调用迅雷的游戏广告，又是怎么样实现调用并只在一部分电脑上弹窗呢？

在将我的电脑的google分析js和朋友电脑上的google分析js进行了对比后发现，是js被修改了，弹窗的js如下图所示：

是不是看这个代码很熟悉（久病成医，在不断的中马过程中，我们也被迫习惯了识别木马），有很长一段时间挂马都是用的这个代码，解密方法不再赘述，解密出来后的地址如图所示：

主站是正在建设中，whois信息是个美国佬的。个中情况不甚清楚。。。。。。

那么js是怎样被修改的呢？既然我这没有弹窗，网友测试也没有弹窗，那么应该是朋友那有问题了，在确定朋友那没有中马以后（他还开了个个纯净的虚拟机测试），也排除了ARP的可能，因为打开其他的站都是没有弹窗的。这时就想会不会是铁通的DNS再次被劫持了？“再次”是因为铁通曾经劫持过cnzz,51.la，测试结果证明正是铁通的“再再次”劫持google分析造成的。原因找出来了，却无语了，你能把铁通怎么样？

原因找出来后，网上搜索了下，发现7月1-2号之间曾经出现过类似的铁通DNS劫持的情况，也曾有人发贴问，貌似没有解密出来挂马代码。也有人曾经打铁通的服务电话投诉，最终未果。

鸣谢：花费一个多小时帮我找原因的朋友，好哥们！

各位参与测试的网友！

相关文章

• May 21, 2010 -- Joomla如何添加网站统计代码