Publicidad que aparece de repente en la parte superior de casi todas las páginas

Desde esta mañana aparece un anuncio extraño en la parte superior de muchas páginas que abro en el navegador web (vea la captura de pantalla al final). Está sucediendo en cualquier navegador (probado FF, IE y Chrome), en cualquiera de las tres máquinas de nuestro hogar, incluso en iPhone (no importa si está conectado a una red Wi-Fi o celular [al final no es cierto, vea mi respuesta ]) . Incluso en el sistema Debian se ejecuta en VMWare.

A veces los anuncios no aparecen en Firefox, sino que aparecen en IE. A veces no aparecen en el iPhone cuando están conectados a un celular, pero aparecen cuando están conectados a través de Wi-Fi. Pero sobre todo aparecen en cualquier caso. En algunas páginas, el problema corrompe la representación de una página.

El anuncio es idéntico en todos los casos. Los mismos banners de árbol, excepto el banner de Amazon que cambia el producto. En iPhone, el banner de Amazon no se carga. En algunas páginas, el conjunto de anuncios se repite dos o más veces.

Algunas de las páginas con las que está ocurriendo el problema:

• superuser.com (cualquier sitio de SE)
• instagram.com
• pinterest.com
• ask.com (los anuncios aparecen dos veces)
• bbc.com

No sucede en:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(aunque las listas pueden verse afectadas por un componente aleatorio del problema).

Los anuncios se representan mediante código HTML inyectado justo después de una <body>etiqueta de apertura . El código no está presente en el propio HTML. Pero puedo verlo al inspeccionar la página en las herramientas de desarrollo del navegador (por ejemplo, la herramienta Inspector en Firefox), por lo que es probable que sea generado por algún JavaScript. El código se adjunta al final de esta publicación. Una vez que se muestra la página, el navegador comienza a conectarse a 85.25.138.211.

No tengo complementos no deseados en los navegadores. Tampoco identifiqué ningún adware / malware en mi (s) máquina (s). Ni siquiera esperaba eso, ya que el problema también ocurre en el iPhone.

Se siente como si me hubieran pirateado. Pero no puedo imaginar cómo funcionaría ese truco, ya que afecta a diferentes sistemas (Windows, iOS, Debian). Pensé en hackear el enrutador, pero tampoco parece probable ya que el problema persiste incluso cuando desconecto el iPhone de Wi-Fi. Considere que alguien explotó algún error en la biblioteca de JavaScript que comparten todas las páginas afectadas. Pero en ese caso, el problema sería generalizado, no solo para mí. Pero no pude encontrar ningún informe de tal problema por nadie más [al final no es cierto, vea mi respuesta ].

¿Alguien tiene alguna idea de por qué sucede esto?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Después de muchas pruebas, me di cuenta de que el problema está ocurriendo en la red celular solo por el almacenamiento en caché. Después de borrar un caché ( Borrar historial y datos del sitio web ) y actualizar, el problema desapareció. Y reapareció solo después de volver a conectarse a la red Wi-Fi.

Esto hizo obvio que el problema se debe a un enrutador comprometido, Edimax AR-7265WNB. Restablecer el enrutador a la configuración de fábrica y volver a configurarlo solucionó el problema.

No encontré una versión más nueva del firmware del enrutador que la que tengo (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Aunque descubrí que el firewall en el enrutador estaba apagado. En realidad, el enrutador se restableció hace unas semanas. Al volver a configurarlo, probablemente olvidé habilitar el firewall (de hecho, esperaría que el firewall esté activado de forma predeterminada).

El problema parece mundial ahora (otros informes aquí y aquí , algunos otros fueron eliminados), en contra de mi afirmación en la pregunta. Eso sugeriría la explotación remota de alguna vulnerabilidad del enrutador (compatible con el problema del firewall), en lugar de la piratería local de Wi-Fi. Los otros informan diferentes tipos de enrutadores ( D-Link DSL-2600U , TP-Link), por lo que el problema no es específico del Edimax.

Los otros informes mencionan que se modificó una configuración de DNS o proxy. No verifiqué esto antes de restablecer mi enrutador. Pero es posible que mi enrutador se haya modificado de esta manera, ya que el firewall estaba apagado. También explica la inyección de código en cualquier página sin necesidad de ningún exploit específico del enrutador. Por lo tanto, el atacante posiblemente escanea Internet en busca de enrutadores no seguros y simplemente los configura para que apunten al proxy del atacante.

Me di cuenta hace unos 2 días que estaba recibiendo exactamente los mismos anuncios en varios dispositivos (computadora portátil, teléfono inteligente Android y Nexus 7). Cuando borro todas las memorias caché del navegador y me conecto a una red celular, los anuncios se detienen, pero una vez que me conecto al wifi vuelven.

Terminé cambiando el servidor DNS en todas mis conexiones a 8.8.8.8 de google y los anuncios dejaron de aparecer en todos los dispositivos.

Entonces, el enrutador o el servidor DNS del ISP están comprometidos es mi mejor suposición.

editar: igual que ¿Cómo puedo eliminar anuncios no deseados en la parte superior de los sitios?

Lo más probable es que tenga algún spyware (muy fácil de descargar accidentalmente, pero generalmente bastante fácil de eliminar, si sabe qué hacer).

Deberá descargar un unistaller más potente, la desinstalación de Windows no lo eliminará.

Descargue el instalador IOBitUN . Ahora tendrá que revisar cada archivo (en iobit) e identificar qué programa no reconoce o parece 'sospechoso', una búsqueda rápida en Google (si no está seguro) revelará si es malware.

También puede seleccionar la desinstalación por lotes (opción superior derecha en iobit), que puede permitirle seleccionar varios programas para desinstalar y, por supuesto, dejar que realice un análisis profundo y elimine todo lo que encuentre.