login
火绒揭露鲁大师流量劫持黑幕
2025/11/12·StepFun can make mistakes, check important info.
看看这篇https://www.huorong.cn/document/tech/vir_report/1858 火绒解密鲁大师的文章,说了什么,比如说检测什么网站?什么程序?会做什么?
Reason
附件解析
思考过程

首先,用户要求我查看一篇来自火绒的关于解密鲁大师的文章,链接是 https://www.huorong.cn/document/tech/vir_report/1858 。文章内容已经提供在上下文中,所以我需要基于这些内容来总结文章的核心信息。

文章标题是《“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕》,主要揭露了以成都奇鲁科技有限公司(鲁大师关联方)为首的多个企业,通过云控配置等方式进行流量劫持和恶意推广的行为。

关键点总结:

  1. 涉及企业和行为:成都奇鲁科技、天津杏仁桉科技等多家公司通过云控模块远程控制软件推广行为,包括鲁大师、小鸟壁纸等软件。这些公司利用隐藏的关联关系和结算系统形成利益输送网络。
  2. 推广手段
    • 浏览器弹窗推广“传奇”类页游。
    • 未授权弹窗安装第三方软件(如SecretCipher、LionProtect)。
    • 篡改京东链接插入京粉推广参数以获取佣金。
    • 植入伪装成正常应用的浏览器扩展程序。
    • 弹出带渠道标识的百度搜索框。
  3. 技术对抗和规避手段
    • 地区规避:北京IP用户减少或不下发推广,非北京IP用户(如太原)收到更多推广。
    • 渠道规避:官网下载用户减少推广,非官网下载用户(如从软件站下载)增加推广。
    • 用户环境检测:检测是否技术人员(如运行开发工具、虚拟机)、会员状态、是否开启广告拦截等,针对性调整推广。
    • 浏览器历史记录检测:规避搜索过“劫持”、“流氓软件”等关键词的用户,或访问过投诉平台(如12315、微博)的用户。
    • 安装软件检测:检测杀毒软件(如火绒、卡巴斯基)、技术分析工具(如IDA、Visual Studio),若存在则停止推广。
    • 进程检测:检测开发、调试工具进程,规避技术人员。
    • 冷却时间:某些推广脚本有延迟触发(如安装7天后执行)或冷却期(成功安装后180天)。
  4. 具体检测和推广细节
  5. 安全提醒:火绒已实现对这些恶意推广模块的识别和查杀,建议用户更新火绒并全盘查杀。

用户的问题重点:检测什么网站?什么程序?会做什么?

  • 检测的网站:文章中提到在浏览器历史记录检测中,会匹配是否访问过投诉类(12315平台、北京市消费者协会)、社交平台(微博、知乎)、技术论坛(看雪、吾爱破解)等。
  • 检测的程序:杀毒软件(火绒、360安全卫士等)、虚拟机软件、开发工具(IDA、Visual Studio、Fiddler)、浏览器插件(淘客助手类)。
  • 会做什么:进行流量劫持(如篡改京东链接、添加百度搜索渠道参数)、恶意推广(弹窗安装软件、推广页游)、静默安装程序、植入浏览器插件等。

输出要求:用户指定用中文输出,所以我全程用中文回复。只输出一种语言,不混合其他语言。

根据这篇火绒安全实验室发布的文章《“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕》,核心内容揭露了以**成都奇鲁科技有限公司(鲁大师关联方)**为首的多家企业,通过“云控配置”技术构建大规模流量劫持与恶意推广产业链的黑幕。以下是关键信息总结:

一、涉及主体与行为模式

  • 企业关联:成都奇鲁科技、天津杏仁桉科技、重庆赫赫有盾科技等数十家公司通过隐藏的云控模块和结算系统形成利益网络,利用鲁大师、小鸟壁纸、DXRepair等软件实施推广。
  • 核心手段:通过云端动态下发配置指令,控制软件在用户电脑上悄无声息地执行推广行为,且刻意规避监管和技术分析。

二、检测的目标网站与程序

  1. 浏览器历史记录检测

  2. 本地程序与环境的检测

    • 安全软件:火绒、360安全卫士、卡巴斯基等杀毒工具;
    • 技术工具:IDA(逆向工程)、Visual Studio(开发)、Fiddler(抓包)等分析工具;
    • 虚拟机环境:通过检测VMware等虚拟机的CPU特征(如CPUID指令)识别并规避;
    • 浏览器插件:检测淘客助手类插件(如“aokheaddinafdmjphkjlnachkejgleao”),避免向推广从业者投放。

三、具体恶意行为

  1. 流量劫持与变现

    • 用户访问京东时,篡改链接插入京粉推广参数(如tn=xxxxx),窃取佣金;
    • 百度搜索时,强制添加渠道标识参数(如tn=ludashixxxx),获取搜索分成;
    • 静默植入浏览器扩展程序,暗中修改网页跳转逻辑。

  2. 强制弹窗与静默安装

    • 推广“传奇”类页游:通过任务栏图标闪烁、伪造弹窗诱导点击;
    • 未经许可安装第三方软件:如SecretCipher(数据加密)、LionProtect(浏览器保护),安装后这些软件继续执行推广任务;
    • “假关闭按钮”套路:用户点击关闭弹窗,反而触发软件静默安装(无提示、无快捷方式)。

  3. 用户分层与规避策略

    • 北京IP用户:减少推广(规避监管敏感区);
    • 非官网下载用户(如从软件站下载):加大推广力度;
    • 技术人员/会员:通过检测系统环境(如虚拟机、开发工具运行状态)识别并跳过;
    • 冷却机制:部分推广脚本延迟7天触发,或成功安装后冷却180天。

四、技术对抗手段

  • 加密与混淆:云控配置和Lua脚本使用BlowFish算法加密+Base64编码,阻碍安全分析;
  • 动态加载:推广模块以“插件”形式动态载入,使行为难以固定;
  • 环境规避:检测用户是否开启360弹窗拦截、是否运行在测试环境(如任务栏图标少于5个则跳过)。

五、安全建议

火绒已实现对这些恶意推广模块的识别、拦截和查杀。建议用户:

  1. 更新火绒至最新版本;
  2. 执行全盘查杀扫描潜在风险;
  3. 警惕非官方渠道下载的软件,避免电脑沦为“流量变现工具”。

总结:鲁大师等软件通过云控技术,构建了一套针对普通用户(尤其是“小白”用户)的“精准收割”体系,以流量劫持、静默安装、弹窗推广等方式牟利,同时用复杂技术手段规避监管和专业人员。本质是利用用户信任和软件高传播性,将用户设备变为“推广肉鸡”。