网络广告经理们没有能够阻止恶意代码渗入他们的网页的工具，而RBN团伙则趁机捞取不义之财。

2007年11月12日只不过是一位为备受赞誉的网络出版商工作的广告经理人生命中又一个忙碌的一天。我们叫她“Laurie Smith”好了，实际上她是谁和她为之工作的广告出版商是谁并不重要， 因为她的经历是在这个行业中忍受泛滥成灾的恶意代码渗入而又无力去阻止的典型例子。

Smith那天很幸运。不像其他几十个在线出版商广告经理人们一样—例如那些为Google、Yahoo、华尔街日报、经济学家杂志、美国职棒大联盟MLB.COM、全国冰球联盟NHL.COM工作的经理人们—当那一天结束时，她可以为她的网站广告没有被恶意代码覆盖而长嘘一口气了。

事实上，存在着被称为“恶意广告”的大祸害正在渗入合法的网站。从9月22日开始，恶意广告就一直在寻找途径进入广告行业最大的玩家们的服务器，比如DoubleClick的服务器。

是的，那天Smith是幸运的，但一切也只是因为：幸运。她，与她在这个行业中的同行们一样，没有任何工具能够捕捉到Flash广告中的恶意脚本。结果就是：很多网站收到了百分之一千增长率的读者投诉，他们在本来以为信誉良好的网站上看到了令他们感到恼火的不恰当的广告。

像Smith这样的网络广告经理人们无计可施。她告诉eWEEK她知道她应该做出正确的措施，以确保网站不会一直为恶意代码服务。DoubleClick 只是一个服务于她的网站广告的工具，但是它不能对网站在为什么服务而负责—即使公司已经在努力保护它的客户了。

她需要对广告进行检查以确保广告不包含恶意代码，但是问题是：该如何做？这些网络广告经理们应该使用何种工具来检查这些广告材料？在给eWEEK的回复信件中她写到，对她来说，问题是DoubleClick不能够给她正确的工具来检查广告文件。

“他们应该在DoubleClick中加入应用间谍软件，”她说。

RBN连接

事情是否如此简单呢？实际上，并没有这样的反间谍软件能够加入到像DoubleClick这样的服务于广告的平台中。那些购买了广告空间又将其替换为恶意广告的买家实在太老练了，他们不会把他们的恶意代码与那些简陋到可以被反间谍软件过滤掉的代码编写到一起。

事实上，一旦安全研究员追踪到这些广告背后的源头，那么他们便丝毫不会惊讶于这些恶意广告背后呈现出来的代码的精密性和商业头脑，因为IP地址和其他所有的线索都指向了最臭名昭著的网络黑帮：RBN(俄罗斯商业网络)

事实上，根据那些追踪截恶意广告突然潮水般出现的现象（直到11月14日仍在继续）的安全专家的看法， RBN的一个前端公司AdTraff的和其他几个RBN前端组织正在使用一种创新性的全新的技术来运用Javascript和Flash，这种方式是将SWF（Shockwave Flash Object）文件插入到Flash 动画当中，之后能够生完全不同的—而且是完全恶意的—广告， 而不仅仅是提交恶意Flash 文件。

内容包括色情，伟哥和伪造的反间谍软件程序的广告向浏览者们扑面而来，永不停止，直到把他们拖垮为止。他们能够在享负盛名的网站上看到这样的广告，像在Google上，在Yahoo上—那些他们以为不会看到这样的广告的网站。

这样的广告使人发狂。很多人都放弃了，他们停止购买那些能够让这些恼人的不停跳出来的广告从眼前消失的应用程序。实际上这些广告文件就是恶意代码，它们会植入木马病毒和其他恶意软件。而且经常性的，购买反间谍软件的用户的信用卡信息会被盗卖给窃贼。

这些恶意代码被装入到使用者的电脑中—堂而皇之的通过前门而不是从后门进入，它们接收与RBN服务器相连的服务器发送来的指令。这些被代码感染的电脑变成傀儡主机，然后被放到黑市去待价而沽。

偷梁换柱

许多广告专业人士都没有认识到这一事实，除非他们被某一家安全公司的说服下才可以认识到，造成所有浏览者投诉的原因，可以追溯到这样一副情景，这情景看起来可能是像这样的：时间已接近销售季度的最后时刻，为了销售配额要么去做要么等死。

一个为出版商工作的急需完成任务的广告销售人员被一个买家联系，这个买家可能用信用卡也可能用电汇支付汇款。他可能正位于巴哈马群岛，但是嘿，谁在乎这些？现在已到了销售季度的尾声，而这个买家提供的金钱绰绰有余。

Don Jackson，一位SecureWorks（美国最大信息安全技术提供商）的研究员，把这一现象描述为偷梁换柱，也叫做诱饵销售。这些提交的广告都看起来都不起眼—没有什么能引起Smith注意的地方。比如说有一个广告，这个广告卖给了一家主要的网上出版商，这家出版商和SecureWorks有合作，SecureWorks帮助他们清除恶意广告。这个广告是一家世界闻名的照相机及胶卷制造商推出的一个新产品的广告——为节日准备的数码照相机——令人惊喜的傻瓜机型。

问题的很大一部分在于糟糕的行为是分散发生的。那些看起来无辜的广告打开的时候，是很难捕捉到它们的。举例来说，RBN在AdTraff的服务器一直做好准备响应恶意广告中的循环脚本，在任何时候都准备好对恶意程序作者发出的许可信号时做出反应，而那些看起来无辜的广告便会发出呼叫生成恶意代码内容的广告。

RBN的工作人员会直接找到独立的出版商—这些也是DoubleClick所涉及的那些成为发布广告的公司的独立出版商，RBN也会寻找小型的广告网站—他们会向这些网站购买广告空间，来放置会变形的恶意广告。

恶意广告创作者正在提交他们更加创新的作品—那些代言着广告内容的广告—第一眼看上去非常完美。除了那些隐藏在Flash文件中的讨厌的小SWF文件以外。RBN操作者们经常会替换掉他们在上面滥用和安插SWF文件的网站上的广告。通过这种方法，一个读者可能会抱怨接收到了恶意广告，但是当问起他在被发送恶意广告之前看到了什么，却发现原来是一个合法广告的复制品，这样一来，想追踪到这些恶意广告就更加困难了。

这是安全研究员们第一次发现Flash技术在如此规模下被这样利用。Jackson说，这真是令人惊奇，因为这种技术已经存在一年以上了。就Finjan而言，它从它的Q1 2007网络趋势报告开始就已经对广告中隐藏恶意代码的现象发出警告了。

用户们已经习惯于相信刊登广告的人。他们认为他们能够控制运行的是何种类型的广告，但是他们没有告诉购买广告空间的人，他们不能播放Flash广告。

然而新的Web编程语言使这种恶意代码太简单而不能被编造。

“使用了JavaScript技术，就有很多方法混淆ActionScript（ActionScript是Flash的脚本语言）”Jackson说。ActionScript是一个脚本语言，绝大部分时候用在开发那些使用Adobe's Flash Player平台的网站和软件，以SWF文件形式嵌入到Web网页里面。

“处理Web漏洞和下载问题的安全专家们每天都要与之作斗争的大问题是，你可以以不同的方法使用JavaScript做不同的事情。只要你接受了使用ActionScript的Flash文件，就没有办法阻止这样的惨败重复发生。”

鉴于DoubleClick的高调姿态和Google想要购买它的事实，很多人都很关注DoubleClick被卷入RBN恶意广告损害事件的事情。但是DoubleClick并不是唯一的一个纠缠在这件事中的大型广告网站，Jackson说。截至到11月13日，DoubleClick已经解决了它所涉及到的恶意广告问题。尽管如此，Jackson说，仍然存在很多其他的广告问题，特别是在那些独立网站上。

漏洞预防实验室的Roger Thompson在11月13日公布了一段录像，证明一个恶意横幅广告于11月9日在Double Click网站上运行，感染了美国职棒大联盟MLB.com和全国冰球联赛的NHL.com网站。

调查亦发现这种广告在Billboard杂志的网站上也在运行。在这一特定案例中，恶意横幅广告劫持用户会话，关闭美国职棒大联盟MLB.com的网站，并且强迫用户下载看起来象是官方软件（其实是假造的）的反病毒应用程序。就Secure Works来说，截至到11月13日为止他们已经为此清理了10到12个在线出版商的网站。

无处可去

安全研究员和在线广告经理们对于如何阻止大规模网络冲击缺乏重视。Smith告诉eWEEK说，比起缺少检查Flash广告的工具来说，更严重的问题是没有任何一个地方可以时刻提醒我们，我们是处在什么样的情形下。

“在广告运营世界中最大的问题之一是没有一个信息中心发源地能够让我们得到最新的新闻、最新科技的升级信息、行业的发展方向，等等。”她在email中写到。“这几乎对所有人来说都是自助的。如果(恶意广告问题)没有被包括在(行业)发行目录中，我可能对现在发生了什么都一无所知。”

即使是行业发行目录也可能会给Smith传递糟糕的信息。Smith在行业发行目录中发现一个叫做AdOps Tools的检查flash文件的网站。这个网站有一个项目是可以让访问者以问题形式插入Flash文件。如果检查合格，广告运营经理们会把这个广告重新放在DoubleClick上。

事实上，AdOps网站自己本身看上去就有点靠不住。它满篇错别字，比如象把scream写成scam这类的错误。在它的“关于我们”部分，有一条信息这样写着，“在这个部分你可以找到关于网站的信息，还有提问的联系方式。”但是网站上并没有“提交问题”的方式。

这个看起来很可疑的网站究竟有没有真正阻挡过一个被恶意代码感染的Flash文件呢？Smith笑着说。

“我之前从来没用使用过它”她说。 “我也只是最近才发现它的” 。

也许这是一件好事。在Jackson和eWEEK的电话交谈中，他提交了一个含有恶意SWF代码的Flash文件，这个文件是他在检索大规模恶意广告袭击时发现的。

AdOps已经冻结了。截至到11月14日，Jackson再也没有收到这个网站下面可能运行的其他反馈信息，而这个网站是Smith知道的唯一一个可以向它寻求帮助，在恶意代码狂潮袭击成千上万的潜在受害者之前阻止它们的网站。