[我也不容易] CPA广告emu 强迫点击和隐藏窗口 Part2

0668it

我也不容易 发表于
http://cnwebmasters.com/thread-78750-1-1.html
我下载再来再复制这里的，呵呵。要下载保存回上面地址，谢谢。

示例2：Allebrands横幅广告隐藏加载Affiliate链接

其他的affiliate加载affiliate链接，并且在用户仅浏览横幅广告的时候改掉affiliate cookies。从流氓的程度上看，这中入侵比示例1更有效果，因为affiliate需要用户实际访问到affiliate的网站上。取而代之的，仅仅浏览了个横幅广告，或者访问了个第三方网页，affiliate就能改掉他的cookie，并且在return-days周期内，如果用户买了该商家的东西，affiliate就可以得打佣金。

确切的说，affiliate要绕过“用户点击要求”，同时又要绕过“浏览要求”。没有了这两项附加要求，affiliate可以仅通过用户访问来更简单的获得佣金。

为了锁定目标商家，这中入侵方式要严重逊于示例1中的入侵方式。在特定情况下，通过这中入侵方法，商家得不到任何的宣传好处。受这种入侵的影响，商家仅在有销售的情况下付款，但这无论如何都会发生的。所以每笔佣金付款都等于是浪费。

我最近观察到一个类似的入侵，是通过运行在Yahoo RightMedia Exchange的横幅广告。仅仅浏览个Allebrands的各横幅广告，用户的电脑就得到加载三个affiliate链接的指令，每个都是0x0 的IFRAME。下面就是一部分相关HTML代码：

GET /iframe3? ...
...
Host: ad.yieldmanager.com
...
HTTP/1.1 200 OK
Date: Mon, 29 Sep 2008 05:36:02 GMT
...
<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
<iframe src="http://allebrands.com/allebrands.jpg" width="468"
height="60" scrolling="no" border="0" marginwidth="0"
style="border:none;" frameborder="0"></iframe></body></html>
GET /allebrands.jpg HTTP/1.1
...
Host: allebrands.com
...
HTTP/1.1 200 OK
...
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>

这三个IFRAME在三个窗口中分别加载三个不同的affiliate链接。因为每个窗口都被设置成0x0pixels，所以都是看不见的。

我保存了完整的HTTP数据包记录，显示流量从隐含的Smashits网站流向Right Media再流向Allebrands，直到流向目标affiliate programs。我同样注意到了目标商家，McAfee, Microsoft, 和 Symantec.

注意，Allebrands很狡猾，他们使用misleadingly-named /allebrands.jpg URL。特别是，Allebrands由Right Media指派发送流量到 -- 一个.JPG扩展名，所以从表面上看就是个压缩的JPEG图片。但是，不用管URL的扩展名，这个URL实际上是以普通的HTML为条件的  -- 生成A HREF, IMG和IFRAME。同时，如果一个用户看了这个广告，那这个用户仅会看到IMG标签指定的图片。因为IFRAME是看不到的，这些IFRAME无论如何也不会在显示器上显示出来。

据我测试，Allebrands通过多样化的网站来散播流氓广告。一个特别吸引我眼球的是Smashits，一种间谍软件“spyware-delivered banner farm”。除了Smashits的不可靠的流量来源，Smashits也是以在隐形窗口中放置广告而非常著名的。通过下面展示的两行框式支架，Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame，轮流并最终显示Allebrands的广告。

<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>
  <FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
  <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
</FRAMESET>

在早先保存的Smashits' spyware-originating流量上下文中回顾数据包记录，所有进行时的先后顺序及关系如下所示：一种间谍软件发送流量到Smashits，这时肯定有一些用户访问了Smashits网站。Smashits生成了0-pixel-tall FRAME来加载在显示器中根本不显示的广告。在这个框架Smashits发送流量到Traffic Marketplace，并中转流量到Theadhost，然后再中转到RightMedia Exchange，RightMedia Exchange会从Allebrands挑选个广告，并且装载cookies来从三个目标affiliate programs获得佣金。

Allebrands是什么？Allebrands网站不提供联系信息，并且Allebrands 的whois同样不提供资料。但是Allebrands的DNS服务器属于creativeinnovationgroup.com，Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地图可以证实这是一个真实的地址，貌似是个在建的公寓单元。

hlzone

什么情况？重新复制的？