近日，火绒安全实验室发布题为《“捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕》的专项报告。报告指出，包括成都奇鲁科技有限公司（鲁大师运营方）在内的多家厂商，通过云控配置构建大规模推广产业链，利用隐蔽手段劫持用户流量、静默安装软件，并实施了极具针对性的“反侦察”策略。

报告中公布的与本次威胁情报强相关的软件

据火绒报告显示，这些厂商利用普遍的上网常态加大推广力度，通过云端下达配置指令，动态控制软件的推广行为。以鲁大师为例，其推广行为包括但不限于：利用浏览器弹窗推广“传奇”类页游、在未获明确许可下弹窗安装第三方软件、篡改京东网页链接插入推广参数以获取佣金、以及弹出带有渠道标识的百度搜索框等。

报告中公布的多种推广方式

为了规避监管和技术分析，相关软件采用了复杂的“捉迷藏”策略。报告详细披露了这些软件的规避手段：

1. 地域规避：软件会根据用户IP所在地投放配置。测试显示，针对北京地区的用户，软件会减少或完全不下发推广相关的云控配置，而其他地区（如太原）则会接收到大量推广内容 。

2. 人群画像规避：推广模块会检测用户电脑中是否安装了Fiddler、IDA、Visual Studio等技术分析或开发工具，一旦发现，便停止推广，以防备技术人员的分析。同时，如果检测到用户是“鲁大师尊享版”或其他关联软件的付费会员，也会停止骚扰。

3. 历史记录检测：软件甚至会扫描用户的浏览器历史记录。如果发现用户近期访问过“12315投诉平台”、“黑猫投诉”或搜索过“流氓软件”、“劫持”等关键词，系统将判定该用户具有高投诉风险，从而停止推广。

报告中公布的规避手段表

最引人关注的细节是，火绒在分析中发现，鲁大师的推广模块中存在一条特殊的检测逻辑：在劫持浏览器的过程中，系统会检测用户是否访问过360创始人周鸿祎的微博。若检测结果为“已访问”，则不会进行推广。

报告中公布的软件需规避的标题或链接（其中包含周鸿祎的微博链接）

这一细节引发了网友热议，有评论调侃称：“没想到周鸿祎还怕被人骂，仔细一想原来是怕用户去微博骂老板”。天眼查数据显示，鲁大师（成都奇鲁科技有限公司）与360系公司在历史上存在复杂的股权和业务关联。

值得注意的是，就在火绒报告发布的11月11日当天，鲁大师软件连续推送了两个版本更新，更新说明仅模糊地提到了“修复已知bug”和“提升用户体验”，未提及是否针对报告指出的流量劫持问题进行了整改。

截止发稿，鲁大师方面尚未就火绒安全报告中的具体指控作出公开回应。

来源：紫牛新闻 编辑：丁丰林