[我也不容易] CPA广告emu 强迫点击和隐藏窗口 Part2

[复制链接]
查看: 1380   回复: 1
发表于 2011-10-19 13:27:25 | 显示全部楼层 |阅读模式
我也不容易 发表于
http://cnwebmasters.com/thread-78750-1-1.html
我下载再来再复制这里的,呵呵。要下载保存回上面地址,谢谢。

示例2:Allebrands横幅广告隐藏加载Affiliate链接

其他的affiliate加载affiliate链接,并且在用户仅浏览横幅广告的时候改掉affiliate cookies。从流氓的程度上看,这中入侵比示例1更有效果,因为affiliate需要用户实际访问到affiliate的网站上。取而代之的,仅仅浏览了个横幅广告,或者访问了个第三方网页,affiliate就能改掉他的cookie,并且在return-days周期内,如果用户买了该商家的东西,affiliate就可以得打佣金。

确切的说,affiliate要绕过“用户点击要求”,同时又要绕过“浏览要求”。没有了这两项附加要求,affiliate可以仅通过用户访问来更简单的获得佣金。

为了锁定目标商家,这中入侵方式要严重逊于示例1中的入侵方式。在特定情况下,通过这中入侵方法,商家得不到任何的宣传好处。受这种入侵的影响,商家仅在有销售的情况下付款,但这无论如何都会发生的。所以每笔佣金付款都等于是浪费。

我最近观察到一个类似的入侵,是通过运行在Yahoo RightMedia Exchange的横幅广告。仅仅浏览个Allebrands的各横幅广告,用户的电脑就得到加载三个affiliate链接的指令,每个都是0x0 的IFRAME。下面就是一部分相关HTML代码:

GET /iframe3? ...
...
Host: ad.yieldmanager.com
...
HTTP/1.1 200 OK
Date: Mon, 29 Sep 2008 05:36:02 GMT
...
<html><body style="margin-left: 0%; margin-right: 0%; margin-top: 0%; margin-bottom: 0%"><script type="text/javascript">if (window.rm_crex_data) {rm_crex_data.push(1184615);}</script>
<iframe src="http://allebrands.com/allebrands.jpg" width="468"
height="60" scrolling="no" border="0" marginwidth="0"
style="border:none;" frameborder="0"></iframe></body></html>
GET /allebrands.jpg HTTP/1.1
...
Host: allebrands.com
...
HTTP/1.1 200 OK
...
<a href='http://allebrands.com' target='new'><img src='images/allebrands.JPG' border=0></a>
<iframe src ='http://click.linksynergy.com/fs-bin/click?id=Ov83T/v4Fsg&offerid=144797.10000067&type=3&subid=0' width ='0'height = '0' boder='0'>
<iframe src ='http://www.microsoftaffiliates.net/t.aspx?kbid=9066&p=http%3a%2f%2fcontent.microsoftaffiliates.net%2fWLToolbar.aspx%2f&m=27&cid=8' width ='0'height = '0' boder='0'>
<iframe src ='http://send.onenetworkdirect.net/z/41/CD98773' width ='0'height = '0' boder='0'>

这三个IFRAME在三个窗口中分别加载三个不同的affiliate链接。因为每个窗口都被设置成0x0pixels,所以都是看不见的。

我保存了完整的HTTP数据包记录,显示流量从隐含的Smashits网站流向Right Media再流向Allebrands,直到流向目标affiliate programs。我同样注意到了目标商家,McAfee, Microsoft, 和 Symantec.

注意,Allebrands很狡猾,他们使用misleadingly-named /allebrands.jpg URL。特别是,Allebrands由Right Media指派发送流量到[我也不容易] CPA广告emu 强迫点击和隐藏窗口 Part2 -- 一个.JPG扩展名,所以从表面上看就是个压缩的JPEG图片。但是,不用管URL的扩展名,这个URL实际上是以普通的HTML为条件的  -- 生成A HREF, IMG和IFRAME。同时,如果一个用户看了这个广告,那这个用户仅会看到IMG标签指定的[我也不容易] CPA广告emu 强迫点击和隐藏窗口 Part2图片。因为IFRAME是看不到的,这些IFRAME无论如何也不会在显示器上显示出来。

据我测试,Allebrands通过多样化的网站来散播流氓广告。一个特别吸引我眼球的是Smashits,一种间谍软件“spyware-delivered banner farm”。除了Smashits的不可靠的流量来源,Smashits也是以在隐形窗口中放置广告而非常著名的。通过下面展示的两行框式支架,Smashits生成了/audio/empty.html下的0-pixel-tall "part1" frame,轮流并最终显示Allebrands的广告。

<FRAMESET ROWS="0,*" FRAMEBORDER=0 FRAMEPADDING=0 FRAMESPACING=0 BORDER=0>
  <FRAME name=part1 SRC="http://ww.smashits.com/audio/empty.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="no">
  <FRAME name=part1a SRC="http://ww.smashits.com/spindex_02.html" NORESIZE MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING="yes">
</FRAMESET>

在早先保存的Smashits' spyware-originating流量上下文中回顾数据包记录,所有进行时的先后顺序及关系如下所示:一种间谍软件发送流量到Smashits,这时肯定有一些用户访问了Smashits网站。Smashits生成了0-pixel-tall FRAME来加载在显示器中根本不显示的广告。在这个框架Smashits发送流量到Traffic Marketplace,并中转流量到Theadhost,然后再中转到RightMedia Exchange,RightMedia Exchange会从Allebrands挑选个广告,并且装载cookies来从三个目标affiliate programs获得佣金。

Allebrands是什么?Allebrands网站不提供联系信息,并且Allebrands 的whois同样不提供资料。但是Allebrands的DNS服务器属于creativeinnovationgroup.com,Creativeinnovationgroup的whois提及到Simon Brown at 700 Settlement Street in Cedar Park, Texas。Google地图可以证实这是一个真实的地址,貌似是个在建的公寓单元。
发表于 2011-10-20 20:03:10 | 显示全部楼层
本帖最后由 hlzone 于 2011-10-20 20:04 编辑

什么情况?重新复制的?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则