[我也不容易] CPA廣告emu 強迫點擊和隱藏窗口 Part2

我也不容易 發表於
http://advertcn.com/thread-78750-1-1.html
我下載再來再複製這裡的，呵呵。要下載保存回上面地址，謝謝。
5 E. t# @: ]5 l& @3 B# N8 v7 a
示例2：Allebrands橫幅廣告隱藏加載Affiliate鏈接
. q, F: c: Z1 W
9 p1 A- e0 U+ l! G& U其他的affiliate加載affiliate鏈接，並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看，這中入侵比示例1更有效果，因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的，僅僅瀏覽了個橫幅廣告，或者訪問了個第三方網頁，affiliate就能改掉他的cookie，並且在return-days週期內，如果用戶買了該商家的東西，affiliate就可以得打佣金。
. o6 S3 I5 J. \1 Z4 |! h: X
6 g" [2 L7 u1 F5 `/ U3 k+ `確切的說，affiliate要繞過「用戶點擊要求」，同時又要繞過「瀏覽要求」。沒有了這兩項附加要求，affiliate可以僅通過用戶訪問來更簡單的獲得佣金。
8 X1 |) j  |/ s$ I' n+ c  ]
# E. [8 W! U! W! Z( r: x0 D為了鎖定目標商家，這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下，通過這中入侵方法，商家得不到任何的宣傳好處。受這種入侵的影響，商家僅在有銷售的情況下付款，但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。
, k2 M$ `& B& _+ y; _9 E7 ^" f
我最近觀察到一個類似的入侵，是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告，用戶的電腦就得到加載三個affiliate鏈接的指令，每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼：

GET /iframe3? ...
...
" a' B# ?7 N, J1 Q5 B: IHost: ad.yieldmanager.com
6 k. s$ w, K# W: x) a6 z; [...
2 K% h3 R1 z6 S1 \HTTP/1.1 200 OK
$ Z: d0 g' i# H8 g# l0 IDate: Mon, 29 Sep 2008 05:36:02 GMT
7 s( F# ?1 q( e8 j...
* Y* s+ p  F. _  b<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
2 K5 Y. k; Y$ `4 B: n8 P& i<iframe src="http://allebrands.com/allebrands.jpg" width="468"
7 H! W7 k" W8 x( [height="60" scrolling="no" border="0" marginwidth="0"
style="border:none;" frameborder="0"></iframe></body></html>
! }' O- j1 c! G5 C0 w9 EGET /allebrands.jpg HTTP/1.1
3 H$ d$ ^: Y% I0 v% ^5 P: f) }- K...
Host: allebrands.com
; j+ N$ o* `% }1 t, t# W9 j. a...
HTTP/1.1 200 OK
...
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
( P+ `/ Y0 Q2 P& Y$ V9 b( @+ S<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>

這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels，所以都是看不見的。

7 v* D3 ~7 \4 P( C- n* I我保存了完整的HTTP數據包記錄，顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands，直到流向目標affiliate programs。我同樣注意到了目標商家，McAfee, Microsoft, 和 Symantec.

注意，Allebrands很狡猾，他們使用misleadingly-named /allebrands.jpg URL。特別是，Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名，所以從表面上看就是個壓縮的JPEG圖片。但是，不用管URL的擴展名，這個URL實際上是以普通的HTML為條件的  -- 生成A HREF, IMG和IFRAME。同時，如果一個用戶看了這個廣告，那這個用戶僅會看到IMG標籤指定的圖片。因為IFRAME是看不到的，這些IFRAME無論如何也不會在顯示器上顯示出來。

據我測試，Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits，一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源，Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架，Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame，輪流並最終顯示Allebrands的廣告。

- [" C# E; F5 h, T9 ~4 e# |! }% C<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>
- O. y% O2 x. b" p3 `8 G  <FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
  <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
5 |8 c" y$ `3 N1 T</FRAMESET>

5 h' F1 N& J9 h+ w7 _在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄，所有進行時的先後順序及關係如下所示：一種間諜軟件發送流量到Smashits，這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace，並中轉流量到Theadhost，然後再中轉到RightMedia Exchange，RightMedia Exchange會從Allebrands挑選個廣告，並且裝載cookies來從三個目標affiliate programs獲得佣金。
6 v) B5 }: E# D1 E# `* Q; v7 x! Q
' C. S4 A: P. LAllebrands是什麼？Allebrands網站不提供聯繫信息，並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com，Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址，貌似是個在建的公寓單元。

1 p# Y" O8 E' v
什麼情況？重新複製的？