[我也不容易] CPA廣告emu 強迫點擊和隱藏窗口 Part2

我也不容易 發表於
http://advertcn.com/thread-78750-1-1.html
我下載再來再複製這裡的，呵呵。要下載保存回上面地址，謝謝。

示例2：Allebrands橫幅廣告隱藏加載Affiliate鏈接

其他的affiliate加載affiliate鏈接，並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看，這中入侵比示例1更有效果，因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的，僅僅瀏覽了個橫幅廣告，或者訪問了個第三方網頁，affiliate就能改掉他的cookie，並且在return-days週期內，如果用戶買了該商家的東西，affiliate就可以得打佣金。
, }6 x3 A+ P+ G2 {6 G* p3 O  R* u
確切的說，affiliate要繞過「用戶點擊要求」，同時又要繞過「瀏覽要求」。沒有了這兩項附加要求，affiliate可以僅通過用戶訪問來更簡單的獲得佣金。
/ i& P' h7 O; U5 E
; b0 ^$ A* D3 y/ B  z2 J- h/ ^為了鎖定目標商家，這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下，通過這中入侵方法，商家得不到任何的宣傳好處。受這種入侵的影響，商家僅在有銷售的情況下付款，但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。

我最近觀察到一個類似的入侵，是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告，用戶的電腦就得到加載三個affiliate鏈接的指令，每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼：

0 D; S6 Z8 L8 l; O2 bGET /iframe3? ...
...
Host: ad.yieldmanager.com
...
HTTP/1.1 200 OK
! D# }& {& F2 Q- b! j( M0 v$ ADate: Mon, 29 Sep 2008 05:36:02 GMT
" n" g2 c; ?9 A6 n8 ?+ T) Y; N, S7 ^...
) d$ @9 z! h. @$ |8 ~<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
<iframe src="http://allebrands.com/allebrands.jpg" width="468"
2 x5 N  [$ [* ?) M7 d" Y( i% kheight="60" scrolling="no" border="0" marginwidth="0"
3 y! r1 ?2 _) istyle="border:none;" frameborder="0"></iframe></body></html>
GET /allebrands.jpg HTTP/1.1
...
Host: allebrands.com
...
HTTP/1.1 200 OK
  Z. j5 G0 P1 ~- \- Z) _...
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>
8 `2 c) W( \1 B% b1 @<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
) ~0 a  R; U6 D$ V3 R3 c; Q9 V<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>

! s; i6 P4 \5 m% E4 A這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels，所以都是看不見的。
' L) j) A5 E0 L% R2 F
我保存了完整的HTTP數據包記錄，顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands，直到流向目標affiliate programs。我同樣注意到了目標商家，McAfee, Microsoft, 和 Symantec.

& t$ N* @: q; Z0 q注意，Allebrands很狡猾，他們使用misleadingly-named /allebrands.jpg URL。特別是，Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名，所以從表面上看就是個壓縮的JPEG圖片。但是，不用管URL的擴展名，這個URL實際上是以普通的HTML為條件的  -- 生成A HREF, IMG和IFRAME。同時，如果一個用戶看了這個廣告，那這個用戶僅會看到IMG標籤指定的圖片。因為IFRAME是看不到的，這些IFRAME無論如何也不會在顯示器上顯示出來。
! i( E1 j4 {& t7 e. o
據我測試，Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits，一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源，Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架，Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame，輪流並最終顯示Allebrands的廣告。

<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>
  <FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
4 J: H" X& l! K1 E$ V- P  <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
: H5 ^1 z9 S* f</FRAMESET>
+ n& t; f, _; c0 g0 g
+ f& q2 N; ?/ \* m6 b6 p$ ]在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄，所有進行時的先後順序及關係如下所示：一種間諜軟件發送流量到Smashits，這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace，並中轉流量到Theadhost，然後再中轉到RightMedia Exchange，RightMedia Exchange會從Allebrands挑選個廣告，並且裝載cookies來從三個目標affiliate programs獲得佣金。
# I$ I2 u8 X* X' q6 N% n2 _# p% \' |
Allebrands是什麼？Allebrands網站不提供聯繫信息，並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com，Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址，貌似是個在建的公寓單元。

+ }" V, e  p! ~& ?
# m! [0 ?  b7 i+ M4 U; D什麼情況？重新複製的？