我也不容易 發表於# I+ N+ i9 ^2 o# N& z* Y7 k/ ]5 I
http://advertcn.com/thread-78750-1-1.html( [# f4 `& q8 @& q1 U( n" [
我下載再來再複製這裡的,呵呵。要下載保存回上面地址,謝謝。% S5 _- ^8 l: m1 J' a$ W ]
. D0 w$ U8 a- i. M& s, Z6 k3 e
示例2:Allebrands橫幅廣告隱藏加載Affiliate鏈接
& a! {. p/ J# s" B) e0 Y0 ?0 D) V+ ?# @8 b9 D
其他的affiliate加載affiliate鏈接,並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看,這中入侵比示例1更有效果,因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的,僅僅瀏覽了個橫幅廣告,或者訪問了個第三方網頁,affiliate就能改掉他的cookie,並且在return-days週期內,如果用戶買了該商家的東西,affiliate就可以得打佣金。$ S, m* |! g; d" g3 c: d/ P
$ `: z# r0 b1 N' S$ y {8 n確切的說,affiliate要繞過「用戶點擊要求」,同時又要繞過「瀏覽要求」。沒有了這兩項附加要求,affiliate可以僅通過用戶訪問來更簡單的獲得佣金。/ j# m2 H( h* o* t _) I3 \" q
) q" F8 B' A# s3 h+ j3 K為了鎖定目標商家,這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下,通過這中入侵方法,商家得不到任何的宣傳好處。受這種入侵的影響,商家僅在有銷售的情況下付款,但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。; e- m6 S* K9 l q! V- m4 D6 O5 j
8 W# d; Z: _, h: Q我最近觀察到一個類似的入侵,是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告,用戶的電腦就得到加載三個affiliate鏈接的指令,每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼:
" V- e k* P* B* m
. O0 f5 n2 n8 [* Z2 L% v, ^/ ^& XGET /iframe3? ..., G8 c. G8 w) z; w
... . V& M8 X9 I; {0 O' j' E- T' p. }
Host: ad.yieldmanager.com
7 `% T, ^/ V3 z" @( Y3 [; ?1 k...
8 D; h- c0 h' ~& Y8 X+ [ {HTTP/1.1 200 OK) {8 O# C4 }: ?9 Y' R: e$ b
Date: Mon, 29 Sep 2008 05:36:02 GMT
: ^5 K& m, y1 C3 W; Q8 A ]0 D...
" H2 I7 j( v' Y' e7 d. k; E5 G<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>: S0 ~" ~" I. C( _$ d5 \
<iframe src="http://allebrands.com/allebrands.jpg" width="468"! F1 w! E8 [4 |3 t, C/ I) F
height="60" scrolling="no" border="0" marginwidth="0"7 C$ k1 D3 x: _9 ~) I1 U
style="border:none;" frameborder="0"></iframe></body></html>
( {0 t3 ] v; z7 b* E1 z9 lGET /allebrands.jpg HTTP/1.1
! m. n1 Y* D, k) z( c( G... 1 Z. f5 |) w* p5 G' j6 Q2 s
Host: allebrands.com . p: h" _; q i0 r
...
2 X( W$ D+ b- x4 T8 z. BHTTP/1.1 200 OK* d5 O4 I# `2 W1 p& r
...; G" m, {4 N" E. @. }# q
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>7 j. O. _2 g( L, |% M( @" ]) s
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>) R6 S5 ]. M# }1 [
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
, |( x0 G6 }! U/ X! b! F9 p3 t<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>( ^$ ^, F4 h' \) b; ^
. |2 Q5 \3 b' l1 L" M+ V4 j
這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels,所以都是看不見的。. e3 Z6 @3 z2 T' X5 s7 I, G8 x5 T
- ]& h" ], t: F- B我保存了完整的HTTP數據包記錄,顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands,直到流向目標affiliate programs。我同樣注意到了目標商家,McAfee, Microsoft, 和 Symantec.. _: j1 f8 ?* @" v! R
. M9 q1 O0 @" j. ?1 D
注意,Allebrands很狡猾,他們使用misleadingly-named /allebrands.jpg URL。特別是,Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名,所以從表面上看就是個壓縮的JPEG圖片。但是,不用管URL的擴展名,這個URL實際上是以普通的HTML為條件的 -- 生成A HREF, IMG和IFRAME。同時,如果一個用戶看了這個廣告,那這個用戶僅會看到IMG標籤指定的 圖片。因為IFRAME是看不到的,這些IFRAME無論如何也不會在顯示器上顯示出來。) N* F8 ^2 h5 x; m/ b* Z
7 `- K6 c2 |7 u% g
據我測試,Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits,一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源,Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架,Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame,輪流並最終顯示Allebrands的廣告。
" K; K) T7 }" l( D
1 g8 I0 i: g8 L* I2 u/ W* z& n, E0 ~<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>7 ?' Q/ u5 e4 r: _2 g6 c7 j; C6 G
<FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">" `4 k" B, ]: K `: I$ ~2 ]0 X9 g: U1 }
<FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
( I/ Y8 p6 E, i</FRAMESET>
9 k0 R! ^/ {8 X$ p9 T/ D" [8 y# Z. f! ?1 O, E
在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄,所有進行時的先後順序及關係如下所示:一種間諜軟件發送流量到Smashits,這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace,並中轉流量到Theadhost,然後再中轉到RightMedia Exchange,RightMedia Exchange會從Allebrands挑選個廣告,並且裝載cookies來從三個目標affiliate programs獲得佣金。
+ ?- C8 Z; c4 o) o1 q( O! l# ]. b" ?. |) x4 G" q
Allebrands是什麼?Allebrands網站不提供聯繫信息,並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com,Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址,貌似是個在建的公寓單元。 |
|
發表於 2011-10-19 13:27:25
提升卡
沉默卡
变色卡