我也不容易 發表於$ Q2 N* y4 ^ S1 q$ }! F- e
http://advertcn.com/thread-78750-1-1.html% x- B W; x* d
我下載再來再複製這裡的,呵呵。要下載保存回上面地址,謝謝。* G/ b8 ~+ s: j1 e9 s7 h: S/ k( n& q
& C' i) n; Z$ R: D
示例2:Allebrands橫幅廣告隱藏加載Affiliate鏈接
1 h$ m2 D, j' g
* q: L' b# @$ U% c3 X1 s' f其他的affiliate加載affiliate鏈接,並且在用戶僅瀏覽橫幅廣告的時候改掉affiliate cookies。從流氓的程度上看,這中入侵比示例1更有效果,因為affiliate需要用戶實際訪問到affiliate的網站上。取而代之的,僅僅瀏覽了個橫幅廣告,或者訪問了個第三方網頁,affiliate就能改掉他的cookie,並且在return-days週期內,如果用戶買了該商家的東西,affiliate就可以得打佣金。
. t! B1 D6 l/ u$ U0 F
' B, U- f7 ^8 c* P( M確切的說,affiliate要繞過「用戶點擊要求」,同時又要繞過「瀏覽要求」。沒有了這兩項附加要求,affiliate可以僅通過用戶訪問來更簡單的獲得佣金。
" g( Z9 n" d' O! G$ q8 d
. ~! ^4 I9 a! O" R( G; y為了鎖定目標商家,這中入侵方式要嚴重遜於示例1中的入侵方式。在特定情況下,通過這中入侵方法,商家得不到任何的宣傳好處。受這種入侵的影響,商家僅在有銷售的情況下付款,但這無論如何都會發生的。所以每筆佣金付款都等於是浪費。
1 S, _# R- L) K% e
9 S, B9 g% Z6 @* t) Z我最近觀察到一個類似的入侵,是通過運行在Yahoo RightMedia Exchange的橫幅廣告。僅僅瀏覽個Allebrands的各橫幅廣告,用戶的電腦就得到加載三個affiliate鏈接的指令,每個都是0x0 的IFRAME。下面就是一部分相關HTML代碼:" }' ]) a3 }1 h+ S' q3 F
o$ {7 I Q; R/ J' W5 B
GET /iframe3? ...
! i7 t) l/ v- _' V/ W0 K* s... - a3 f( `4 v! f+ t/ E
Host: ad.yieldmanager.com
# h* \) D; P: r* k, Y) f) }...3 }* T) G% }" n E
HTTP/1.1 200 OK' h9 K, ]7 ^( a5 t- v
Date: Mon, 29 Sep 2008 05:36:02 GMT% \, o/ c( H x, p, X3 T& q
...
* m) M; H6 E( K" H' s<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
4 D; z( k( M" N/ t. n+ g8 D5 S<iframe src="http://allebrands.com/allebrands.jpg" width="468"
* ?/ p5 O6 I) X% @# G1 ^0 I$ iheight="60" scrolling="no" border="0" marginwidth="0"8 }# t- M8 `! {* Y# A; }
style="border:none;" frameborder="0"></iframe></body></html>
1 r0 C) R- t- y& R3 Z7 V4 MGET /allebrands.jpg HTTP/1.1
& d' |8 o% p4 ?...
2 }& a. z* S$ K# w$ w8 zHost: allebrands.com 7 C* g2 x9 `, A% ~- d8 j% U
...
# O3 t8 M( D2 B2 c& ?HTTP/1.1 200 OK- d, m5 ~" U: s; P0 A( e
...6 T0 d9 u: t+ I) w1 `
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>" ~% o9 i/ O, u* @5 a9 W% {" ?
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>% D0 C& S/ q) \
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>5 u, g; O# _4 _$ Z
<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>
7 k: b# z6 q2 X" C( T7 P( [$ K9 J0 e/ ?8 R8 k/ H$ l
這三個IFRAME在三個窗口中分別加載三個不同的affiliate鏈接。因為每個窗口都被設置成0x0pixels,所以都是看不見的。
1 Z1 T- D" G' y; h( n9 k9 q; R4 L% d+ ^" h
我保存了完整的HTTP數據包記錄,顯示流量從隱含的Smashits網站流向Right Media再流向Allebrands,直到流向目標affiliate programs。我同樣注意到了目標商家,McAfee, Microsoft, 和 Symantec.4 \+ I; f, P ~1 `
$ ~- j8 A$ ?8 V$ `0 _# t& T
注意,Allebrands很狡猾,他們使用misleadingly-named /allebrands.jpg URL。特別是,Allebrands由Right Media指派發送流量到 -- 一個.JPG擴展名,所以從表面上看就是個壓縮的JPEG圖片。但是,不用管URL的擴展名,這個URL實際上是以普通的HTML為條件的 -- 生成A HREF, IMG和IFRAME。同時,如果一個用戶看了這個廣告,那這個用戶僅會看到IMG標籤指定的 圖片。因為IFRAME是看不到的,這些IFRAME無論如何也不會在顯示器上顯示出來。
! u3 o/ b" H- B% @! ]% ` H9 ]& Y3 A: W8 G, D0 h% o
據我測試,Allebrands通過多樣化的網站來散播流氓廣告。一個特別吸引我眼球的是Smashits,一種間諜軟件「spyware-delivered banner farm」。除了Smashits的不可靠的流量來源,Smashits也是以在隱形窗口中放置廣告而非常著名的。通過下面展示的兩行框式支架,Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame,輪流並最終顯示Allebrands的廣告。
- m# e. ?0 j0 R8 Y$ u
" q( G- e6 h8 w7 @' N<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>- }% b' Z' P6 i1 _* ]$ }' f
<FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
2 b) ]. J, V) q# j* [ <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
' W6 ]7 a1 n9 I& ^" L</FRAMESET># y7 u P* w0 b+ e5 a# v& i( s
7 V, N3 r2 S1 i( ~5 `. g' u9 N3 a在早先保存的Smashits' spyware-originating流量上下文中回顧數據包記錄,所有進行時的先後順序及關係如下所示:一種間諜軟件發送流量到Smashits,這時肯定有一些用戶訪問了Smashits網站。Smashits生成了0-pixel-tall FRAME來加載在顯示器中根本不顯示的廣告。在這個框架Smashits發送流量到Traffic Marketplace,並中轉流量到Theadhost,然後再中轉到RightMedia Exchange,RightMedia Exchange會從Allebrands挑選個廣告,並且裝載cookies來從三個目標affiliate programs獲得佣金。1 N3 ^$ X) ]) A% v! Q
6 C% G$ K( g4 J0 v) z1 J) M7 }
Allebrands是什麼?Allebrands網站不提供聯繫信息,並且Allebrands 的whois同樣不提供資料。但是Allebrands的DNS服務器屬於creativeinnovationgroup.com,Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地圖可以證實這是一個真實的地址,貌似是個在建的公寓單元。 |
|
發表於 2011-10-19 13:27:25
提升卡
沉默卡
变色卡