Hintergrund: Die Software Mr9 SM

In diesem Artikel findest du weitere Informationen zu der Software Mr9 SM. Diese wird bei dem Affiliatebetrugsnetzwerk (siehe hier) eingesetzt, um Kopien einer Webseite zu erstellen.

Da die Software auf chinesisch ist, ist es natürlich nicht ganz einfach, diese zu verstehen. Daher habe ich mich gestern Abend noch mit dem potentiellen Entwickler über die Webseite dazhou.net in Kontakt gesetzt und über einen Kommentar weitere Informationen per Mail erbeten:

KommentarDiese sind dann auch prompt gegen 0:40 Uhr bei mir in der Mailbox gelandet. Die Mail kam von dem Absender Da Zhou von der Email dazhou.li@gmail.com. Der Mailheader sieht wie folgt aus:

Mailheader

Dabei habe ich mir erlaubt, meine eigene Email zu maskieren. Spannende Informationen sind die IP 10.114.20.73. Laut https://apps.db.ripe.net/search/query.html?searchtext=10.114.20.73 gehört diese zu einem privaten Internet und das Land konnte ich nicht wirklich feststellen. Vielleicht hat da jemand weitere Informationen zu. Außerdem sind in dem Mailheader die Zeitzonen -7 und +8 genannt. Auch hier weiß ich nicht, welche stimmt und dem Versender zugeordnet werden kann. Wer weiß da mehr?

Es handelt sich hierbei um eine IP aus einem Bereich, der für interne Netzwerke reserviert ist. Daher wird die IP vermutlich die interne IP eines Gmail-Servers sein, da die Mail bei einem Versand von Gmail zu Gmail nie das Netzwerk von Google verlassen hat. Danke für den Hinweis in den Kommentaren!

Soviel erstmal zum Hintergrund. Bei der Software Mr9 SM handelt es sich um ein Tool, das Kopien einer Webseite erstellen kann. Dies funktioniert, indem Anfragen direkt auf die originale Webseite weitergeleitet werden. So ist die Kopie auch immer hochaktuell. Zudem können bestimmte Abfragen für Unterseiten, Bilder oder andere Inhalte abgefangen und mit eigenen Inhalten erstetzt werden. Die Funktionsweise lässt sich relativ einfach beschreiben mit:

„Visitor -> Your Domain -> Mr9.SM -> Target Domain“ (Zitat vom Entwickler)

Eine komplette Featureliste, die ich erstmal unkommentiert so stehen lassen möchte, gibt es auch:

Support replaced file by URL.
Support wildcard replacement
Support the general replacement
Support Regular Syntax replacement
Support for DOM replacement  (XPATH Query)
Support CharSet conversion
Support for offline CACHE
Support for parallel computing optimization
Support head / footer / body parts insert code in HTML.
Support for multiple domain.
Support PROXY pool
Support POST data forwarding
Support POST data intercepted
Support compression
Support GZIP output

Need IIS and. NET 4.0 environment. MYSQL and MSSQL supported

Eine Lizenz für einen Server kostet beim Entwickler 1.500$ und gibt es auch in einer englischen Version.

Auf Rückfrage nach Einsatzmöglichkeiten hat mir der Entwickler folgende Vorschläge mit Erfahrungswerten geschickt:

  1. Created a lot of mirrors (use the top-level domain or sub-domain), submitted to the GOOGLE will bring a lot of traffic. Use cookie stuffing program to convert these traffic (with custom referer source). I created 90 sites, and a month later I brought 20k visitor/day, from google.
  2. Mirroring a site, modify the logo, title, AD. Then to apply for a publisher account from CPA networks.

Die erste Methode ist komplett Blackhat und genau das, was mir auch widerfahren ist. Es werden Webseiten kopiert und mittels Cookie Stuffing Provisionen erschwindelt. Interessant dabei ist, das 90 Webseitenkopien nach einem Monat etwa 20.000 Besucher pro Tag generieren, vermutlich durch Suchmaschinenergebnisse. Damit wäre auch die Trafficquelle (oder eine mögliche Quelle) enttarnt. In einem Screenshot von Analytics aus dem Anhang ist auch die Url advertcn.com genannt. Dies ist ein Forum über Werbung (?) und Blackhat (?).

Analytics

Methode zwei ist wegen der Urheberrechtsverletzung auch illegal, aber bei der Werbung geschieht meines Wissens kein Betrug, da CPA-Netzwerke benutzt werden.

Nachdem mir der Entwickler fröhlich alle Features, Einsatzmöglichkeiten und den Preis angepriesen hat, drückt er mir noch seine Verwunderung aus, woher ich denn die Software kenne, da sie ja nicht öffentlich ist. Ganz ehrlich? Wenn man eine Software als nicht öffentlich plant, dann sollte man zumindest eine einfache Form der Autorisierung basteln, damit die Software auch nicht öffentlich in Suchmaschinen aufgelistet wird. Auch Metaangaben wie noindex können hier hilfreich sein. Jetzt ist die Software auf jedenfall nicht mehr privat.

Hier einfach nochmal die ganze Konversation als Screenshot:

Konversation

Soviel zu der Software, meiner Meinung nach keine Magie. Was hälst du davon?

Update #1

Heute ist mir noch folgendes aufgefallen: Scheinbar ist es möglich, die Software Mr9 SM anhand des Servernamens zu identifizieren.  Dadrauf haben mich diese Statistikseiten gebracht. Einfach mal suchen nach:

  • „Microsoft-IIS/“ „Mr9.SM.“
  • „is powered by Mr9.SM webserver software“
  • „This site is running on the Mr9.SM webserver.“
  • „Server Type: Mr9.SM“

Damit findet man etwa 300 Suchergebnisse, wo Webseiten erkannt worden sind, die mit Mr9 SM gespiegelt wurden.

Update #2

Korrektur der Aussage zu der IP

GD Star Rating
loading...
Hintergrund: Die Software Mr9 SM, 3.7 out of 5 based on 9 ratings

Über Timo Fach

Ich beschäftige mich seit mehreren Jahren mit den Themen Seo, Open Source und Domains.