【点击查看火绒原文】火绒相关帖子:“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!
火绒安全实验室于2025年11月11日发布的一份深度调查报告,揭露了以鲁大师为首的一系列企业通过隐蔽技术手段进行大规模流量劫持和恶意推广的黑幕。
一、 核心事件:有组织的“捉迷藏”式流量劫持
一个由数十家关联公司(如成都奇鲁科技、天津杏仁桉桉科技、重庆赫赫有盾科技等)组成的网络,通过云端远程控制的方式,在其旗下多款知名软件(如鲁大师、小鸟壁纸等)中植入推广模块,在用户不知情或未充分告知的情况下,秘密进行流量变现。
二、 主要恶意行为
这些软件被远程操控后,会对用户实施以下行为:
弹窗推广:强制弹窗推广“传奇”类页游、第三方软件(如SecretCipher、LionProtect)。
流量劫持:
篡改电商链接:当用户访问京东时,自动在链接中加入京粉推广参数,以获取佣金。
劫持搜索引擎:弹出带有特定渠道标识的百度搜索框,劫持搜索流量以获取分成。
静默安装:采用“假关闭按钮”等诱导方式,使用户在点击关闭弹窗时反而触发软件的静默安装。
植入浏览器插件:安装伪装成正常工具(如日历、记事本)的浏览器扩展,这些插件会在后台持续进行流量劫持。
三、 关键技术手段:如何“捉迷藏”
为了逃避监管和用户发现,这些公司采用了复杂的技术对抗手段:
云控配置:所有推广行为由云端服务器动态下发指令,可以随时开启、关闭或更换策略,难以追踪。
精准规避:软件会详细检测用户环境,只对“安全”的普通用户投放推广,而主动规避以下人群:
地域规避:例如,对北京地区的用户减少或不下发推广配置。
技术人员规避:检测电脑是否安装了编程开发工具(如VS)、安全分析工具(如Fiddler)、是否在虚拟机中运行。
投诉意识强的用户规避:扫描浏览器历史记录,如果用户访问过投诉平台(如12315)、技术论坛(如吾爱破解)或相关企业高管的微博,则停止推广。
会员用户规避:对购买了鲁大师等软件会员的用户减少骚扰。
四、 隐蔽的商业网络
调查报告通过公开信息溯源,揭示了这些看似独立的公司背后存在紧密的技术协作和利益输送关系,例如:
天津杏仁桉桉科技的后台系统只允许鲁大师的公司邮箱注册。
多家公司的软件源码由一个统一的自动化平台构建。
它们通过隐蔽的结算系统进行利益分配。
五、 结论与提醒
火绒安全将此类行为定性为隐蔽的恶意推广,并指出鲁大师作为一款用户量巨大的硬件检测软件,其行为更具欺骗性。文章最后提醒用户:
使用火绒安全软件并更新至最新版本,其已能有效识别、拦截和查杀此类云控推广模块。
进行全盘查杀,以清除可能已存在于电脑中的相关风险。
