我也不容易 發表於0 q6 T8 j' j5 X7 f
http://advertcn.com/thread-78750-1-1.html
) t$ B% X& X9 S& }, x. o我下載再來再複製這裡的,呵呵。要下載保存回上面地址,謝謝。; J- t7 X+ }- \* u" V
8 p7 X' h6 ]* S9 u示例2:Allebrands橫幅廣告隱藏加載Affiliate鏈接
3 b, r0 C: H$ c+ J$ x2 P8 {9 c3 Z5 x, P4 A
其他的affiliate加載affiliate鏈接,並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看,這中入侵比示例1更有效果,因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的,僅僅瀏覽了個橫幅廣告,或者訪問了個第三方網頁,affiliate就能改掉他的cookie,並且在return-days週期內,如果用戶買了該商家的東西,affiliate就可以得打佣金。1 G9 P ?& n# f+ X" I8 D' z, \2 g; y
2 a& v. A' J2 E/ ^& ?7 ^確切的說,affiliate要繞過「用戶點擊要求」,同時又要繞過「瀏覽要求」。沒有了這兩項附加要求,affiliate可以僅通過用戶訪問來更簡單的獲得佣金。/ c. K8 m& X& D/ P' S! D
" [: U$ Q; M9 I7 v為了鎖定目標商家,這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下,通過這中入侵方法,商家得不到任何的宣傳好處。受這種入侵的影響,商家僅在有銷售的情況下付款,但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。
$ Y" ]( U0 _! p1 _9 p( w2 h
5 e4 h0 M+ q6 g( o4 z$ o3 j5 E- z我最近觀察到一個類似的入侵,是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告,用戶的電腦就得到加載三個affiliate鏈接的指令,每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼:9 M2 n$ c7 b6 [( x: b; e
( Q2 l: I. R& _1 _) P8 B& UGET /iframe3? ...
( l0 z( L. a% D2 _8 \, F...
; ]+ o% K' E/ [% H" O& ^Host: ad.yieldmanager.com
6 o' a7 v- t- y0 V5 S# }...8 E6 O0 o8 m% _: j; D( {
HTTP/1.1 200 OK- O: Q, N6 V% g3 x; z( q0 J
Date: Mon, 29 Sep 2008 05:36:02 GMT
2 u4 e) n; }" e2 P8 q8 F% _...
% f" Z6 `7 D7 n' e0 [<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>2 U8 ?3 D: ~6 l( Z4 ]6 O
<iframe src="http://allebrands.com/allebrands.jpg" width="468"' I5 i \# {% l
height="60" scrolling="no" border="0" marginwidth="0"
/ N9 G# `% d5 G9 I& u% b# Vstyle="border:none;" frameborder="0"></iframe></body></html>
0 {& Y& l: F0 K( [$ sGET /allebrands.jpg HTTP/1.1! _ Q$ J) b% U2 F4 [ r
... - l5 f# Q }9 y% r Z7 I
Host: allebrands.com ' x" `* s) ]# v0 f6 P
...- N) h6 s8 i' I( g# N
HTTP/1.1 200 OK
" M% Z {5 p0 j) [...
/ _7 L5 b; F0 k<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>3 u" e0 t! Q W/ r0 |' ^5 i
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>7 S! N N5 v: c& q8 b
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
+ n6 i: \! t. ^6 i: D6 x<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>
, K) `3 b% X4 C1 K! b7 y
5 r2 ~+ v I+ o5 F* g0 q* T) \% u這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels,所以都是看不見的。" f1 F. l9 v6 C$ a
6 ~3 A9 H' G m; H$ T- H' b我保存了完整的HTTP數據包記錄,顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands,直到流向目標affiliate programs。我同樣注意到了目標商家,McAfee, Microsoft, 和 Symantec.6 l) h0 J0 I7 t! `# U* q; G: p, U
/ v( i( `& J& O7 s8 Z' Z, p注意,Allebrands很狡猾,他們使用misleadingly-named /allebrands.jpg URL。特別是,Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名,所以從表面上看就是個壓縮的JPEG圖片。但是,不用管URL的擴展名,這個URL實際上是以普通的HTML為條件的 -- 生成A HREF, IMG和IFRAME。同時,如果一個用戶看了這個廣告,那這個用戶僅會看到IMG標籤指定的 圖片。因為IFRAME是看不到的,這些IFRAME無論如何也不會在顯示器上顯示出來。
4 e* T% [2 F& {) W# A4 @4 z* P1 I) j9 A% H
據我測試,Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits,一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源,Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架,Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame,輪流並最終顯示Allebrands的廣告。! t* i' w2 H3 H
, N+ x) a) Z3 U
<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>3 Q& @4 H& u0 A" C, S
<FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
: u: v7 q5 r% \7 P, p0 I <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">5 u2 ?0 r+ |, H
</FRAMESET>
7 `# Y D: S: L& {4 F7 O
! W& w# ]9 T0 {4 @在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄,所有進行時的先後順序及關係如下所示:一種間諜軟件發送流量到Smashits,這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace,並中轉流量到Theadhost,然後再中轉到RightMedia Exchange,RightMedia Exchange會從Allebrands挑選個廣告,並且裝載cookies來從三個目標affiliate programs獲得佣金。
5 p s/ J) Y% N i
3 m0 q( t; B9 a& n/ n( kAllebrands是什麼?Allebrands網站不提供聯繫信息,並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com,Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址,貌似是個在建的公寓單元。 |
|
發表於 2011-10-19 13:27:25
提升卡
沉默卡
变色卡