[我也不容易] CPA廣告emu 強迫點擊和隱藏窗口 Part2

我也不容易 發表於
5 B! I; P/ x" E+ R# nhttp://advertcn.com/thread-78750-1-1.html
我下載再來再複製這裡的，呵呵。要下載保存回上面地址，謝謝。

" g' C4 {" _; p- @示例2：Allebrands橫幅廣告隱藏加載Affiliate鏈接

& \1 l$ }/ o4 Y2 e$ w) ^3 Z其他的affiliate加載affiliate鏈接，並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看，這中入侵比示例1更有效果，因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的，僅僅瀏覽了個橫幅廣告，或者訪問了個第三方網頁，affiliate就能改掉他的cookie，並且在return-days週期內，如果用戶買了該商家的東西，affiliate就可以得打佣金。
( A2 [- r) N  u, Y) D: N- P
確切的說，affiliate要繞過「用戶點擊要求」，同時又要繞過「瀏覽要求」。沒有了這兩項附加要求，affiliate可以僅通過用戶訪問來更簡單的獲得佣金。

: ~4 f: a" w2 r6 @為了鎖定目標商家，這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下，通過這中入侵方法，商家得不到任何的宣傳好處。受這種入侵的影響，商家僅在有銷售的情況下付款，但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。

+ W: \: ~2 ~& U2 n6 L我最近觀察到一個類似的入侵，是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告，用戶的電腦就得到加載三個affiliate鏈接的指令，每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼：
8 j# C- h$ r2 g) x# t! [( Z
3 C4 L2 S3 V' Y6 O$ @GET /iframe3? ...
* w  K( |; O. z" D" H$ W...
" m6 W% w& I1 H' {3 WHost: ad.yieldmanager.com
...
HTTP/1.1 200 OK
Date: Mon, 29 Sep 2008 05:36:02 GMT
...
<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
<iframe src="http://allebrands.com/allebrands.jpg" width="468"
8 x- K# i# t5 D5 L  n2 E6 @' iheight="60" scrolling="no" border="0" marginwidth="0"
style="border:none;" frameborder="0"></iframe></body></html>
GET /allebrands.jpg HTTP/1.1
' \% ^% l) [# w. D( R8 }4 o...
/ m0 A2 G) _9 @# _Host: allebrands.com
...
; v. @% l' C& G5 nHTTP/1.1 200 OK
...
7 F# J# j5 ?: a7 p7 u4 S5 Q<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>
: a: I1 b- ~5 z. `5 r<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>
7 r+ R8 D( r& v. ^7 @<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>
5 x3 D; r6 _* n' ]" O$ {' _# d
& h$ a) u: q  [( ~% x( i這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels，所以都是看不見的。
( i+ w1 [  g1 h/ G, n
+ r6 H( C5 n, ~5 i$ Y6 J4 [我保存了完整的HTTP數據包記錄，顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands，直到流向目標affiliate programs。我同樣注意到了目標商家，McAfee, Microsoft, 和 Symantec.

注意，Allebrands很狡猾，他們使用misleadingly-named /allebrands.jpg URL。特別是，Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名，所以從表面上看就是個壓縮的JPEG圖片。但是，不用管URL的擴展名，這個URL實際上是以普通的HTML為條件的  -- 生成A HREF, IMG和IFRAME。同時，如果一個用戶看了這個廣告，那這個用戶僅會看到IMG標籤指定的圖片。因為IFRAME是看不到的，這些IFRAME無論如何也不會在顯示器上顯示出來。

據我測試，Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits，一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源，Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架，Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame，輪流並最終顯示Allebrands的廣告。
: D6 _! t# F) X/ o: w* `; I
<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>
. R( d! D) Z! N" W8 }1 Q8 k  <FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
5 `+ f$ G0 S! m" O3 D  <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
</FRAMESET>
+ c5 P, n1 b& r% Q
! c, h" y$ o# d0 N! e& t0 J在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄，所有進行時的先後順序及關係如下所示：一種間諜軟件發送流量到Smashits，這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace，並中轉流量到Theadhost，然後再中轉到RightMedia Exchange，RightMedia Exchange會從Allebrands挑選個廣告，並且裝載cookies來從三個目標affiliate programs獲得佣金。

Allebrands是什麼？Allebrands網站不提供聯繫信息，並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com，Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址，貌似是個在建的公寓單元。

) E& {& j3 |9 D, l6 `( i0 Y4 a
* g% T- p) v) Y9 c" g1 _什麼情況？重新複製的？