面向手机客户端的恶意广告推广简析

智能手机的普及造就了另一个产业的兴盛：面向手机客户端的广告推广。用白话说就是挂黑链，只不过这回面向的是手机而已。

收到的垃圾短信太多，一看末尾是sis或者sisx的直接删除。俗话说道高一尺，魔高一丈。 最近收到的垃圾短信就有意思了很多。

首先是O【大写英文字母O】 和0在视觉上欺骗，事实上自己的确被骗过了：

NOKIA.co和N0KIA.co在手机上由于字体原因基本无法用眼睛直接区别开来，开始以为是NOKIA.co，whois查询NOKIA.co发现为注册组织为Nokia Colombia S.A，也即诺基亚公司所有。心里还奇怪怎么诺基亚给自己发短信了？忽然一想不对，发送短信的号码为1319953****，联通如意通卡，属黑龙江哈尔滨。再仔细看了发送信息的内容

“您的朋友发来一张照片与您分享，请点击查收 http://N0KIA.co:8010/p1?p=MTAxMw==” ，明显就是一条钓鱼短信，重新whois查询N0KIA.co其IP为121.37.61.23，IP位于China Beijing China Motion Network Communication。直接访问 http://N0KIA.co:8010/p1发现弹出ad.php的下载窗口，下载的内容本地打开后发现是一堆广告

继续访问完整的 http://N0KIA.co:8010/p1?p=MTAxMw== 路径，这次直接弹出SoftAgent0612_Sd.sis文件下载窗口。 MTAxMw== 明显经过Base64编码，这样无非就是增加隐蔽性而已，解码后为1013，访问 http://N0KIA.co:8010/p1?p=1013后发现弹出的依旧是ad.php页面下载窗口，于是自己改一个数字1018后访问 http://N0KIA.co:8010/p1?p=MTAxOA==  发现依旧是  SoftAgent0612_Sd.sis 下载窗口，可能对方做了限制，所有的猫腻都藏在了这个sis文件里，抛砖引玉，感兴趣的同学可以对sis进行分析，分析文章我一定转载。

 ad.php和SoftAgent0612_Sd.sis下载

--the end--