· 火绒安全实验室 · 网络安全 · 44 min read
“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!(完整版)
火绒安全实验室发布的完整技术分析报告,详细揭露包括鲁大师在内的多家软件厂商通过云控配置构建大规模推广产业链,利用多种技术对抗手段规避监管,在未充分告知用户的情况下进行流量劫持和变现操作的全部技术细节。
转载声明: 本文完整转载自火绒安全实验室官方网站,包含所有技术分析细节
原文标题: “捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!
发布时间: 2025年11月11日
原文链接: https://www.huorong.cn/document/tech/vir_report/1858
阅读量: 71485+ (截至转载时)
前言
当前,网络已成为工作、学习、消费、社交等各类日常活动的重要支撑,部分厂商依托这一普遍的上网常态加大推广力度,因此用户需提高警惕,防范各类隐蔽的流量劫持及恶意推广行为。
近期,火绒安全实验室监测发现,包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商,正通过云控配置方式构建大规模推广产业链,远程开启推广模块以实现流量变现。
这些厂商通过云端下达配置指令,动态控制软件的推广行为,不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例,其推广行为涵盖但不限于:
- 利用浏览器弹窗推广
- 劫持用户流量添加推广参数
- 静默安装第三方软件
尽管流量推广向来是互联网公司常用的盈利模式,然而这些厂商却运用了多种技术对抗手段,以阻碍安全分析与行为复现,蓄意隐匿其损害用户体验的行为。
它们在未充分向用户告知或故意模糊告知相关情况的前提下,利用用户流量进行变现操作。通过伪装成正规应用的方式,与用户”捉迷藏”,使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督,逃避公众审查。
【一】溯源信息
声明:本节所涉及的信息均来源于外网公开可查询的信息。
1.1 推广产业网的形成
在对其恶意行为进行监控分析的过程中,一张由幕后人员精心编织的产业网络逐渐浮出水面。数十余家不同时间、不同地区注册的公司通过隐蔽的关联关系相互连接,利用隐藏的结算体系进行利益输送,并通过极其相似的云控模块向用户终端推送各类推广产品。
为了逃避监管和技术追踪,这些公司采用了:
- 数据加密
- 代码混淆
- 动态加载
- 多层跳转
等多种技术对抗手段。
通过来自天眼查的数据,我们初步将其连带关系形成了可视化的网状图(相关企业初步关联网状图)。
根据火绒安全情报中心的统计数据,大量软件包含本文所述的推广模块。与本次威胁具有较强相关性的软件包括但不限于:
- 鲁大师系列产品
- TabXExplorer
- 小鸟壁纸
- 花瓣护眼
- DXRepair (DirectX强力修复)
- 手机模拟大师
- 小蓝鸽
- 大力文件粉碎
- 迅读PDF大师
- Halo壁纸
在收集本次威胁情报相关信息的过程中,我们发现了一系列相关的网络活动痕迹。其中,围绕**“天津杏仁桉科技有限公司及其域名apkevery.com”**,产生了大量网络活跃数据。
1.2 背后隐藏的利益输送关系
借助外网搜索引擎可以发现由天津杏仁桉科技提供支持、搭建于”重庆赫赫有盾科技有限公司”等多家公司服务器下的**“杏仁桉推广结算系统”**后台,证明了背后围绕天津杏仁桉科技形成的推广结算利益输送链条。
在本次威胁情报对应的推广插件中,也大量发现与”apkevery.com”对应的服务器之间的数据传输。
在收集天津杏仁桉科技相关信息的过程中,我们发现其域名下搭建了一个用户中心系统,该系统仅允许以**“@ludashi.com”为后缀的邮箱**注册使用。
经查证,“ludashi.com”域名归属于**“成都奇鲁科技有限公司”**,这直接证明了两家公司之间存在密切的业务关联。
1.3 外网构建系统中的隐藏关系
在收集天津杏仁桉科技域名”apkevery.com”相关信息的过程中,我们发现了一个曾面向外网开放的程序自动构建网站,相关信息被搜索引擎快照收录保存。
该网站托管了多款软件的源码并实现自动构建,包括但不限于:
- 天津简诚出品的”小蓝鸽”、“大力文件粉碎”
- 重庆赫赫有盾出品的”DXRepair”
- 天津欣远出品的”花瓣护眼”
- 以及本次威胁情报中涉及的一系列推广模块
这进一步证实了这些公司之间的技术协作关系。
而通过对提交构建请求的邮箱的进一步溯源,我们在**“成都奇鲁科技有限公司”**面向外网开放的”@ludashi.com”企业邮箱系统中发现了对应人员信息。这些人员主要提交了”重庆赫赫有盾科技有限公司”等公司旗下软件的构建请求。
值得注意的是,天眼查系统显示”成都奇鲁科技有限公司”与”重庆赫赫有盾科技有限公司”之间无任何工商关联关系,但技术层面的关联证据清晰可见。
1.4 外网工作日志中的隐藏关系
在对本文列表中所涉及的”小鸟壁纸”软件开展溯源分析时,我们在外网存储的数据里发现了”小鸟壁纸”系列产品的相关日志,其中记录有大量该相关产品的售后日志。
而其中一款产品名称标注为”小鸟壁纸”的可执行程序显示**“Beijing Qihu Technology Co., Ltd.”(北京奇虎科技)公司的有效签名**。
在相同地址存储的文件中,发现属于**“成都盈畅时代文化传播有限公司”**的域名”shanhutech.cn”下的一系列商品推广链接记录。
而当访问网站”bizhi.shanhutech.cn”时,会进入一个小鸟壁纸软件的下载页面,网站下方的版权文字显示属于**“奇鲁科技有限公司”和”ludashi.com”**。
1.5 总结
基于上述信息,我们基本能够构建出一张隐匿于背后的庞大关系网,该关系网将看似毫无关联的数十家公司连接起来,其背后暗藏着利益输送与技术输送的纽带,完成最终的推广业务。
【二】溯源技术
溯源分析作为威胁情报分析中极为重要且不可或缺的环节,火绒始终秉持合规原则,从公开可查的渠道获取溯源信息。本节文字中,将对本文溯源所采用的信源与技术予以介绍。
2.1 收集相关企业名称
在火绒安全情报系统中,我们通过建立规则的方式收集与本次威胁情报相关的样本关键信息。根据样本关键信息从样本库中提取相应的样本以及其来源,我们获得了大量使用本次威胁情报中涉及到的推广模块的数字签名信息。
从样本数字签名中提取的详细信息中,可以获得与本次威胁情报相关的大量厂商名称,从而得到1.1节中的软件列表图。
2.2 企业信息查询
通过天眼查网站提供的企业信息查询能力,我们人工收集并汇总了所有相关企业的联系电话、邮箱和官方网站信息,并且通过程序自动化方式对收集到的信息进行整理形成图表,从而得到1.1节中的关联信息网状图。
2.3 相关网站信息查询
通过搜索引擎对相关的情报进行搜索,可以查询到本文涉及到的内容对应的网站信息。
例如在必应搜索引擎中搜索”杏仁桉推广”关键词,可以查询到1.2节中的杏仁桉推广结算系统。
在友商平台中根据天津杏仁桉域名”apkevery.com”进行相关信息搜索,可以查询到1.2节中”只允许鲁大师邮箱注册的用户中心系统”所在域名。
根据”天津拂云科技有限公司”法人”刘科”的杏仁桉域名邮箱”liuke@apkevery.com”在搜索引擎中进行搜索,可以搜索到其提交代码对应的一个自动构建网站记录。
再针对该网站进行搜索所有提交记录的邮箱地址,可以发现相关人员的QQ邮箱。
通过对QQ邮箱进行对应搜索查找相关QQ账号,发现该QQ昵称由较为特殊的三个字构成,据此推断此昵称可能为姓名。进一步访问mail.ludashi.com网站,利用其找回密码功能获取信息,发现所得到的手机尾号与通过QQ找回密码流程中显示的尾号一致。综上所述,基本可以判定为同一人。
2.4 小鸟壁纸信息查询
当在搜索引擎中以关键词”360wallpaper_bird”搜索小鸟壁纸安装包时,可以查询到一个记录了一系列工作日志的网站信息,即1.4节中提到的外网工作日志。在网站中,可见1.4节中提到的一系列信息。
【三】手段揭露
为了防止其具有争议性的推广行为被技术人员分析发现、被公众舆论讨论揭露,躲避自动化分析软件的监控和拦截,隐藏背后编织的巨型利益输送网络,这些推广模块采用了多种技术对抗手段。
它们通过云控配置实时调整自身行为,专门规避技术人员等高危群体,精准针对普通用户投放。推广模块会根据用户的系统环境、地理位置、使用时长、是否充值等多维度信息,动态决定是否展示推广内容及推广方式。
3.1 各项针对检测
从服务器下发云控配置开始,软件就开始了其针对性的检测:
地区相关
以鲁大师为例,软件会根据用户所在地区针对性的投放推广云控配置。测试得出,对北京地区的用户会减少或不下发推广相关的云控配置。
渠道相关
有些软件会专门区别用户是否从软件官网下载,并且针对从非官网渠道下载的用户推送推广云控配置,而官网用户将会减少或不下发推广相关云控配置。
用户相关
以鲁大师为例,获取云控时会通过遍历检测当前系统信息的方式判断:
- 是否为技术人员
- 是否在虚拟机中
- 是否为业务会员
等相关数据,从而针对性调整云控配置。
3.2 多种推广方式
为了实现其推广目的,攫取用户流量价值,相关软件实现了多种多样的推广方式:
推广模块以可动态载入的插件的形式存在,从而使得大部分推广策略都可以在云端动态调整。鲁大师软件中包含的部分推广方式包括:
- 浏览器弹窗推广
- 流量劫持(添加推广参数)
- 静默安装软件
- 锁定浏览器主页
- 任务栏图标闪烁推广
- 浏览器插件安装
3.3 各种规避手段
为与用户及监管进行”捉迷藏”,软件采用多种方式以规避各类情形:
| 规避类型 | 具体手段 |
|---|---|
| 虚拟机检测 | 通过CPUID指令检测是否运行在虚拟机环境 |
| 杀毒软件检测 | 检测火绒、360、卡巴斯基等安全软件 |
| 技术工具检测 | 检测IDA、Fiddler、Wireshark、Visual Studio等 |
| 历史记录检测 | 检测是否搜索过”劫持”、“流氓软件”等关键词 |
| 地理位置过滤 | 对北京等敏感地区减少推广 |
| 渠道识别 | 区分官网下载和第三方渠道 |
| 会员状态检测 | 规避已充值的VIP用户 |
| 冷却时间机制 | 延迟触发,降低被发现概率 |
| 随机概率控制 | 不对所有用户推广,降低投诉率 |
自上次监控到”重庆赫赫有盾科技有限公司”开发的软件”DXRepair”利用云控下发推广配置以来,火绒安全情报中心一直持续关注相关威胁情报的动向。外网数据显示,包含类似推广模块的软件仍在大量传播。
其中,一款名为”TabXExplorer”的软件同样会弹窗安装软件并劫持浏览器,其签名信息显示来源为**“成都奇鲁科技有限公司”**。
鲁大师作为在国内具有极高传播度的硬件检测软件,许多用户在新购置电脑时会安装此软件,用以开展跑分测试并查看硬件信息。然而,用户很难预料到,这一看似正常的使用行为,会在未得到充分告知或被故意模糊告知的情形下,使自己的电脑沦为相关企业的”流量变现工具”。
【四】技术分析
本次主要围绕鲁大师软件展开技术分析,并提出该系列推广软件的共性。在溯源过程中,我们发现小鸟壁纸等软件同样包含类似的推广模块,其中Lua脚本执行模块和云控配置请求模块是这些带有推广插件的软件的共同特征。
4.1 云控配置的下发
不同软件中的云控配置请求模块名称各异,但功能相同。例如:
| 软件 | 云控模块名称 |
|---|---|
| 鲁大师 | ConfigCenter.tpi |
| DXRepair | wscfg.pln |
| 其他软件 | 类似命名模块 |
在软件中通常有一个控制大部分推广行为的云控配置,下文中称为”总体云控配置”,在该配置中包含大部分的推广相关配置。
4.1.1 加密算法
本次分析中,所有软件的推广模块基本采用相同的加密方式:
- 使用BlowFish算法对原始数据加密
- 再通过Base64算法编码后进行数据收发
解密操作主要发生在以下场景:
- 接收服务器云控配置
- 解析云控配置字段值
- 下载Lua脚本
- 读取软件中以加密形式存储的配置文件
4.1.2 规避
分析过程中发现,推广模块在获取云控配置时也会进行规避,根据用户地区和下载渠道筛选推广目标,避免向高风险用户投放从而规避可能的风险。
4.1.2.1 地区规避
整体云控配置下发:
云控配置包含大量推广相关参数。通过测试发现,非北京IP与北京IP获取到的配置存在显著差异,通常非北京IP会收到更多的推广配置。
获取京粉佣金链接:
在获取京粉佣金链接时,系统同样会对北京IP进行规避。例如,北京IP获取的云控配置中data.land_url字段为空,而太原等其他地区的IP则会返回该字段的具体值。
4.1.2.2 渠道
非官网渠道下载会产生更多推广:
一般情况下,其他公司的官网渠道代号为”home”,鲁大师的官网渠道代号为”ludashi”。经过多次测试发现,通过官网渠道下载的软件在推广行为上会有所收敛:减少或不下发推广相关的云控配置,又或者在安装包中减少或移除推广模块。
例如,迅读PDF大师会根据访问官网时的URL参数动态切换安装包下载地址。官网渠道提供的安装包不包含推广插件,而其他渠道的安装包则内置推广插件。
4.1.2.3 用户环境
请求云控配置时,客户端会上报环境检测数据,包括:
- sr (杀毒软件)
- vm (虚拟机)
- vip (会员状态)
- advance (360广告弹窗开关与弹窗拦截开关)
- dev (技术人员检测)
等信息,服务端据此动态下发差异化的推广配置。
sr (杀毒软件):
检查SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall注册表路径中DisplayIcon与InstallLocation键值中是否存在以下杀软程序名,如果存在,则将其收集到sr键值中:
- 火绒安全
- 360安全卫士
- 卡巴斯基
- 金山毒霸
- 腾讯电脑管家
- 等主流杀毒软件
vm (虚拟机):
检测HKEY_CLASSES_ROOT\Applications\VMwareHostOpen.exe\shell\open\command是否存在且默认值有效则会判断为虚拟机。
vip (会员):
VIP数据通过读取本地配置文件或注册表获取。例如:
- 检测
%APPDATA%\TabXExplorer\config.ini文件中settings节的level值是否大于等于0 - 检测注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\LDSGameMaster\User中level键值是否存在且小于100
除了云控请求时会附带会员状态,在部分Lua脚本中也会检测是否为会员或充值,若充值过鲁大师尊享版会员则会在配置文件ComputerZ.set中设置rc_flag键值为1,随后在Lua脚本中检测会员状态从而规避。
除此之外还会规避:
- 小鸟(360)壁纸会员 (IsBizhiVip)
- Halo壁纸会员 (HaloVip)
- TabX Explorer资源管理器会员 (IsTabXVip)
- 手机模拟大师会员 (GameMasterVip)
advance (360广告弹窗开关与360弹窗拦截开关):
检测HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\360Safe\stat项中noadpop与advtool_PopWndTracker的键值是否为1,后者的值表明是否开启360弹窗过滤器的强力模式。
dev (技术人员):
通过以下程序是否运行来判断当前用户是否为开发者等技术人员,从而使dev字段设置为1:
- procmon.exe (Process Monitor)
- procmon64.exe
- Fiddler.exe
- Wireshark.exe
- IDA相关进程
- OllyDbg.exe
- x64dbg.exe
- 等调试和分析工具
4.2 进一步的规避手段
规避代码不止在推广模块中执行,也在Lua脚本中执行,且不同公司和软件拥有不同的规避手段。下面将介绍分析过程中发现的规避手段。
4.2.1 虚拟机检测
在规避虚拟机环境时,推广模块会调用Basic.tpi(Lua解释模块)中的LuaSystemFactory.VirturalMachineName函数进行检测。
该函数通过CPUID指令实现虚拟机识别:
- 首先传入
EAX=1,检查返回值的第31位是否为1 - 若为1则表明运行在Hypervisor(虚拟机监控程序)环境中
- 随后传入
EAX=0x40000000读取虚拟机厂商标识 - 从而精确识别虚拟机类型(VMware、VirtualBox、Hyper-V等)
4.2.2 浏览器历史记录检测 ⚠️
这是最令人发指的规避手段!
多数软件中的推广模块及Lua推广脚本会检测浏览器历史记录,以规避特定人群。检测内容包括历史记录中的页面标题和访问网址。
标题检测
系统会匹配历史记录中的页面标题,检测是否包含以下关键词:
- “劫持”
- “捆绑”
- “流氓软件”
- “自动打开”
- “恶意推广”
一旦发现则停止向该用户推广,以规避曾搜索过此类内容的用户。
访问网址检测
匹配历史记录中访问网址中是否存在以下内容,若存在则会选择不推广:
技术类网址:
- bbs.pediy.com (看雪论坛)
- www.52pojie.cn (吾爱破解)
- www.chinapyg.com (中国病毒分析论坛)
- 其他安全技术社区
投诉类网址:
- www.12315.cn (全国12315平台)
- www.bj315.org (北京市消费者协会)
- 各地消费者维权网站
- 黑猫投诉等平台
传播平台类网址:
- weibo.com (微博)
- www.zhihu.com (知乎)
- 等社交媒体平台
值得注意的是,在劫持浏览器的过程中,会对用户是否访问过周鸿祎的微博进行检测,若检测结果为已访问,则不会进行推广。这显然是担心被举报到360。
反向规避策略
部分脚本会运用反向规避策略,对用户是否存在以下正常浏览行为进行检测:
- 玩游戏
- 观看视频
- 使用搜索引擎
- 下载软件
若用户的历史记录中缺乏这些常规活动的痕迹,便会将其判定为非正常用户(例如处于安全分析环境中的用户、测试账号等),并停止推广操作。
恶心之处总结
- 严重侵犯隐私: 未经用户同意读取浏览器历史记录,窥探用户的上网习惯
- 精准猎杀: 专挑不懂技术、不会维权的普通用户”下手”
- 欺软怕硬: 一旦发现用户可能有技术背景或维权意识,立即收敛行为
- 逃避监管: 专门规避可能曝光其恶行的社交媒体用户
- 层层筛选: 通过大数据分析,只对最”安全”的目标投放恶意推广
这种做法充分暴露了这些厂商明知故犯、刻意为恶的本质——他们清楚自己的行为不光彩,所以才要如此小心翼翼地规避可能的曝光和追责。
4.2.3 安装软件检测
杀毒软件检测
系统会检测杀毒软件的安装情况,包括火绒、卡巴斯基、360安全卫士等。检测结果在不同脚本中会触发不同的处理逻辑。
例如,主页防护模块的更新脚本采用反向逻辑:只有检测到杀毒软件时才会继续更新,若未检测到则不更新。
技术软件检测
系统会检测是否安装了以下技术分析和开发工具:
- IDA Pro
- Visual Studio系列
- Fiddler
- Wireshark
- x64dbg / OllyDbg
- Android Studio
- PyCharm / IntelliJ IDEA
- 等开发和逆向工具
若检测到则停止推广,以规避技术人员和安全研究人员。
通过遍历HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall注册表路径检测当前电脑已安装的软件。
4.2.4 进程检测
检测进程名
通过进程名检测是否运行开发、调试、分析软件等技术性程序:
- procmon.exe / procmon64.exe (Process Monitor)
- Fiddler.exe
- Wireshark.exe
- IDAxx.exe
- OllyDbg.exe
- x64dbg.exe / x32dbg.exe
- devenv.exe (Visual Studio)
- 等调试分析工具
检测窗口类名
系统通过检测窗口类名来识别控制面板并进行规避。该窗口检测逻辑与DirectX强力修复软件中的wsadd.pln模块实现方式一致。
4.2.5 任务栏图标个数检测
系统会检测任务栏图标数量是否大于等于5个,以此规避常驻进程较少的测试环境或虚假用户。
4.2.6 冷却时间
浏览器插件安装冷却
浏览器插件安装脚本采用延迟触发机制:
- 脚本每天尝试执行一次
- 需要在软件安装7天后才会真正执行安装操作
- 每次成功安装后还有180天的冷却期
任务栏图标推广冷却
任务栏图标推广脚本,会根据软件安装时长设置不同的冷却期。以鲁大师为例:
- 官网渠道: 需等待24小时后才会进行推广
- lx_store(联想应用商店)渠道: 无冷却期,安装后会立即推广
4.2.7 浏览器插件检测
利用浏览器插件清理模块进行插件检测:
系统会检测浏览器中是否安装了淘客助手类插件,若检测到有则会停止推广,避免向推广从业者投放。
通过遍历检测所有浏览器(Chrome、Edge、Firefox、360等)的extensions插件文件夹,检测其中是否有指定插件ID。
4.2.8 其他规避手段
系统检测、随机概率、控量
- 检测Windows版本和系统位数
- 按概率随机决定是否推广(如80%概率)
- 控制推广数量,避免集中爆发引起注意
规避屏蔽广告设置
规避设置了屏蔽广告弹窗选项的用户。
付费用户与反馈用户检测
检测用户是否为付费用户或曾经反馈过问题的用户,对这类用户减少推广。
浏览器F12开发者工具检测
检测用户是否打开过浏览器的F12开发者工具,若打开过则判定为技术人员,停止推广。
4.3 推广手段
主要的推广手段包括:
4.3.1 Lua脚本执行
RunExtention.tpi为Lua脚本执行器,利用Basic.tpi模块导出函数GetLuaExplain获取Lua解释器进行解释执行。
其与DirectX强力修复分析报告中的runext.pln插件类似,都是通过0x1401和0x1402消息数据传输,也同样拥有EventId(控制脚本执行方式)、缓存和下载以及执行的机制。
原先DirectX强力修复中脚本种类主要有弹窗推广与任务栏闪烁推广,但在此次鲁大师分析中发现还有DLL下载与加载和组件更新类脚本。
4.3.1.1 DLL下载与加载
该类样本具备下载并加载任意DLL的能力。本次发现的云控配置即利用该功能分发浏览器插件安装模块,目前仅在鲁大师环境中观测到此类脚本。
该浏览器插件安装模块支持:
- Chrome
- Edge
- Firefox
- 360安全浏览器
- 等主流平台
所安装插件多为日历、记事助手等日常工具,但其中暗藏篡改URL参数及页面重定向功能。
检测流程
该脚本会先通过以下检测:
- 80%随机概率
- 冷却检测
- 付费用户检测
- 技术程序检测
- 虚拟机检测
- 杀毒软件检测
- 控量
- 浏览器支持检测
- 历史记录检测
- 浏览器插件检测(淘客助手类)
若全部通过则开始安装插件。
插件功能
安装完成后,其background.js作为推广脚本,会在用户访问网页时执行以下操作:
百度搜索劫持:
当用户使用百度搜索时,插件会自动设置tn参数(渠道标识)。参数值通过访问云控配置获取。
京东链接劫持:
访问京东和其他网址会通过云控获取重定向链接,即为京粉佣金推广链接。
4.3.1.2 任务栏闪烁推广
该类脚本经常用于推广”传奇”微端,以闪烁图标诱导用户点击,随后规避软件并进行网页弹窗或静默下载安装”传奇”微端。该类脚本在DirectX强力修复中就已存在。
4.3.1.3 弹窗假关闭按钮安装
该类脚本通过设置虚假关闭按钮诱导用户交互,无论用户点击关闭按钮或触发超时机制,均会执行推广软件的下载安装流程。
推广软件会存于云控配置的push_soft_slow字段中,系统会自动选择最高价格的软件进行安装。
4.3.2 弹窗安装软件
该插件为鲁大师特有插件,其行为与上述”弹窗假关闭按钮安装Lua脚本”一致,均通过虚假关闭按钮和超时机制触发静默安装。
其主要推送:
- SecretCipher (数据加密软件)
- LionProtect (浏览器保护软件)
- 等软件
原理
程序通过调用carry_flow.tpi的CreateTrayClient初始化托盘客户端,随后加载traffic_common.dll并执行CreateInterface函数完成模块初始化。
随后拉取云控配置并选择推广软件,当用户交互触发后,无论点击关闭或安装,均会进入安装软件流程,最终执行安装流程。
云控配置
整体云控配置中的弹窗安装相关配置包含:
close_install: 是否允许点击关闭按钮安装timeout_install: 是否允许超时安装
点击以下内容会被安装
- 关闭按钮: 当云控配置
close_install为1的时候会被安装 - 超时: {duration_time}秒后判定超时,且
timeout_install为1的时候会被安装 - 立即优化: 直接安装
安装机制
安装前先随机选择目标软件,并下载该安装包(动态链接库)并调用导出函数Start4RunDll,以实现安装。
安装时会附加静默参数:
--delay-pop-hp=18000
--channel=ludashi_ludashi
--from=ludashi_popguide
--silent
--no-desktop-shortcut
--no-start-menu-shortcut此时安装是静默的、没有托盘图标、开始菜单、桌面快捷方式等显式安装效果。
软件组分别为:
- 数据加密软件
- 浏览器保护软件
- 清理文件软件
- 等工具软件
4.3.3 浏览器弹出百度搜索框
云控配置触发冷却时间检测
从ConfigCenter获取到云控配置后,其会发送0x8100消息以触发检测冷却时间,随后通过SetTimer设置ID为0x64的计时器等待冷却结束,最后执行环境规避检测。
接收浏览器消息
每次切换至浏览器窗口时,BrowserBasic.tpi会将数据传输至master_ai_ext.tpi模块。该数据随后被封装为0x8001消息发送至主窗口处理函数。
随后利用FindWindowW寻找类名为master_ai_client_wnd_class,窗口名为master_ai_client_wnd_name的窗口,以检查是否已存在对应搜索框。
搜索框实现
最终会调用:
"C:\Program Files (x86)\LuDaShi\SuperApp\master_ai\master_ai_main.exe"
--pop_type=attach_opened_doc
--attach_wnd=921496以实现指定窗口弹出搜索框的操作。
其调用js_basic.dll时,会传入JSON数据,从该数据可以看出,将会加载master_ai_main.dat文件中的index.html。
而在index.html文件加载的JavaScript脚本中实现了该搜索框的细节,其中可以看到点击搜索按钮时会利用百度搜索附加渠道标识参数进行跳转。
点击《百度一下》按钮后搜索时会添加tn渠道标识。
4.3.4 浏览器弹出”传奇”页游框
云控,推广机制
该插件WndPlugin由computercenter.exe进程加载,其行为受云控配置wnd_plugin_v2_slow字段控制。
其插件利用BrowserBasic模块以获取浏览器事件,最终触发”传奇”推广弹窗,并引导用户点击跳转至click_url字段指定的”传奇”页游链接。
多种规避方法
- 进程检测
- 安装软件检测
- 历史记录检测
- VIP检测
- 反馈人群检测
- 浏览器F12开发者工具检测
云控配置中的black_url与black_title字段,根据其命名及所列网址和标题内容,推测是禁止弹窗的页面。且云控配置中的pop_ids为允许弹窗的ID列表,与pop_info中的pop_id相对应。
4.3.5 其他
浏览器弹窗安装
在测试过程中,浏览器弹出《推荐-安装幻笔AI》窗口,经交互验证,点击该弹窗将触发安装流程。
锁定浏览器主页
测试时发现Utils目录中guardhp.exe程序会弹出浏览器主页锁定操作,弹出时将浏览器锁定为hao.360.cn。
推广自身小工具
接收整体云控配置中universal_popup_rec_slow与popmgr_slow,分别是弹窗软件数据和弹窗规则,其含有intercept_bs类似的工具,本身用于推广自身小工具,通常存放于SuperApp文件夹中。
【五】火绒安全提醒
目前,火绒安全软件已实现对此类云控推广模块的识别、拦截及查杀。
为保障您的设备安全与使用体验,远离流量劫持、强制弹窗、静默安装等不良行为的侵扰,建议广大用户:
防护措施
- ✅ 将火绒安全软件更新至最新版本
- ✅ 启动全盘查杀功能对设备进行全面扫描
- ✅ 及时清除潜在风险软件
- ⚠️ 谨慎从非官方渠道下载软件
- ⚠️ 注意软件安装过程中的附加选项
- ⚠️ 定期检查浏览器插件和主页设置
- ⚠️ 关注任务管理器中的可疑进程
火绒也将持续追踪,为用户构建持续、可靠的安全防护屏障。
总结
本次调查揭露了一个庞大的流量劫持产业链,涉及数十家公司和大量用户常用软件。这些厂商在未充分告知或故意模糊告知的情况下,利用用户流量进行变现操作,并采用各种技术手段规避监管和公众审查。
核心要点:
- 🕸️ 庞大的产业网络: 数十家公司通过隐蔽关联形成利益输送链
- 🎭 精密的规避机制: 层层检测,专挑普通用户”下手”
- 🔐 加密的云控系统: 动态下发配置,远程控制推广行为
- 💰 多样的变现手段: 从流量劫持到静默安装,无所不用其极
- 🛡️ 明知故犯的本质: 清楚自己的行为不光彩,刻意规避曝光
鲁大师作为国内知名的硬件检测软件,许多用户在新购置电脑时会安装使用。然而,用户很难预料到,这一看似正常的使用行为,会在未得到充分告知的情况下,使自己的电脑沦为”流量变现工具”。
用户在使用软件时应提高警惕,选择正规渠道下载,安装可靠的安全软件进行防护。
相关链接
- 上一篇威胁报告: 流氓联盟欺软怕硬,多链路恶意推广
- 下一篇威胁报告: 请勿轻信低价骗局!Steam”假入库”灰产陷阱手法剖析
原文作者: 火绒安全实验室
发布时间: 2025年11月11日
原文链接: https://www.huorong.cn/document/tech/vir_report/1858
阅读量: 71485+ (截至转载时)
💡 转载说明: 本文为完整转载内容,包含所有技术分析细节,仅供学习和研究使用。建议用户关注火绒安全官方网站获取更多安全资讯和最新防护方案。
