有没有人使用 ROT13 编码识别此电子邮件嗅探器或恶意软件？

Question

我有一个私人网站，每周都会向大约 30 人的小组发送带有两个不同 http 链接的电子邮件。单击链接时，答案会注册到数据库中。从上周开始，收件人的其中一个链接会自动跟随网络嗅探器或收件人计算机上的某些恶意软件。

每封电子邮件都是单独发送的，因为链接包含每个收件人的电子邮件地址：

Yes, I will attend:
http://mywebsite.com/?email=user@domain.com&answer=yes

No, I can't attend:
http://mywebsite.com/?email=user@domain.com&answer=no

发送电子邮件大约 20 分钟后，我的网站收到以下请求：

UserHostName: 209.133.77.166
UserHostAddress: 209.133.77.166
UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8)
Browser: IE 7.0
Platform: WinXP
HttpMethod: GET
Path: /default.aspx
Url: http://mywebsite.com/default.aspx?answer=ab&email=hfre@qbznva.pbz
UrlReferrer: 

这里有一些奇怪的事情需要观察：

• 电子邮件地址和答案都是 ROT13 编码的（但不是参数名称）。
• 参数的顺序颠倒了。
• 只遵循第二个链接，答案=否。

还：

• IP-adress、UserAgent、Browser 和 Platform 字段与收件人计算机的字段不匹配（当然，它们可能被欺骗）。
• 上周使用的 IP 地址是 209.133.77.167。这两个地址似乎都是在上面的.net 域中动态分配的，执行 tracert 会产生主机名 209.133.77.166.T01713-01.above.net。
• 检查电子邮件标题，电子邮件是从我的网络酒店 binero.net 通过 messagelabs.com 发送到收件人邮件服务器的。
• 只有这个收件人有这些问题。

有没有人认识跟随电子邮件链接并使用 ROT13 编码参数的模式？

Answer 1

哈，发布问题 5 分钟后，我自己找到了答案。你有过这样的经历吗？:-)

https://security.stackexchange.com/questions/48684/help-investigating-potential-website-attack-url-rewriting-and-rot-13-obfuscatio

本质上：

与 AboveNet（现在是 Zayo 的一部分）打了几次电话，但我们最终确定他们的一个客户是位于英国的反恶意软件公司，为我们的两个普通客户提供服务。他们正在扫描所有传入的电子邮件并探测任何超链接，以识别目的地中的潜在危险和/或漏洞。