捉迷藏 式收割：撕开鲁大师为首系列企业流量劫持黑幕！

近期，火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广"传奇"类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。

尽管流量推广向来是互联网公司常用的盈利模式，然而这些厂商却运用了多种技术对抗手段，以阻碍安全分析与行为复现，蓄意隐匿其损害用户体验的行为。

它们在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应用的方式，与用户“捉迷藏”，使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督，逃避公众审查。

在对其恶意行为进行监控分析的过程中，一张由幕后人员精心编织的产业网络逐渐浮出水面。数十余家不同时间、不同地区注册的公司通过隐蔽的关联关系相互连接，利用隐藏的结算体系进行利益输送，并通过极其相似的云控模块向用户终端推送各类推广产品。为了逃避监管和技术追踪，这些公司采用了数据加密、代码混淆、动态加载、多层跳转等多种技术对抗手段。

通过来自天眼查的数据，我们初步将其连带关系形成了可视化的网状图。

根据火绒安全情报中心的统计数据，大量软件包含本文所述的推广模块。下图中列表列出的软件被发现与本次威胁具有较强相关性（包括但不限于）：

借助外网搜索引擎可以发现由天津杏仁桉科技提供支持、搭建于"重庆赫赫有盾科技有限公司"等多家公司服务器下的"杏仁桉推广结算系统"后台，证明了背后围绕天津杏仁桉科技形成的推广结算利益输送链条。在本次威胁情报对应的推广插件中，也大量发现与："apkevery.com"对应的服务器之间的数据传输。

在收集天津杏仁桉科技相关信息的过程中，我们发现其域名下搭建了一个用户中心系统，该系统仅允许以"@ludashi.com"为后缀的邮箱注册使用。经查证，"ludashi.com"域名归属于"成都奇鲁科技有限公司"，这直接证明了两家公司之间存在密切的业务关联。

在收集天津杏仁桉科技域名"apkevery.com"相关信息的过程中，我们发现了一个曾面向外网开放的程序自动构建网站，相关信息被搜索引擎快照收录保存。

该网站托管了多款软件的源码并实现自动构建，包括但不限于：天津简诚出品的"小蓝鸽"、"大力文件粉碎"，重庆赫赫有盾出品的"DXRepair"，天津欣远出品的"花瓣护眼"等软件，以及本次威胁情报中涉及的一系列推广模块。这进一步证实了这些公司之间的技术协作关系。

而通过对提交构建请求的邮箱的进一步溯源，我们在"成都奇鲁科技有限公司"面向外网开放的"@ludashi.com"企业邮箱系统中发现了对应人员信息。这些人员主要提交了"重庆赫赫有盾科技有限公司"等公司旗下软件的构建请求。

值得注意的是，天眼查系统显示"成都奇鲁科技有限公司"与"重庆赫赫有盾科技有限公司"之间无任何工商关联关系，但技术层面的关联证据清晰可见。

在对本文列表中所涉及的"小鸟壁纸"软件开展溯源分析时，我们在外网存储的数据里发现了"小鸟壁纸"系列产品的相关日志，其中记录有大量该相关产品的售后日志。

而其中一款产品名称标注为"小鸟壁纸"的可执行程序显示"Beijing Qihu Technology Co., Ltd."公司的有效签名。

在相同地址存储的文件中，发现属于"成都盈畅时代文化传播有限公司"的域名"shanhutech.cn"下的一系列商品推广链接记录。

而当访问网站"bizhi.shanhutech.cn"时，会进入一个小鸟壁纸软件的下载页面，网站下方的版权文字显示属于"奇鲁科技有限公司"和"ludashi.com"。

基于上述信息，我们基本能够构建出一张隐匿于背后的庞大关系网，该关系网将看似毫无关联的数十家公司连接起来，其背后暗藏着利益输送与技术输送的纽带，完成最终的推广业务。

溯源分析作为威胁情报分析中极为重要且不可或缺的环节，火绒始终秉持合规原则，从公开可查的渠道获取溯源信息。本节文字中，将对本文溯源所采用的信源与技术予以介绍。

在火绒安全情报系统中，我们通过建立规则的方式收集与本次威胁情报相关的样本关键信息。根据样本关键信息从样本库中提取相应的样本以及其来源，我们获得了大量使用本次威胁情报中涉及到的推广模块的数字签名信息，从样本数字签名中提取的详细信息中，可以获得与本次威胁情报相关的大量厂商名称，从而得到【1.1】小节中的软件列表图。

通过天眼查网站提供的企业信息查询能力，我们人工收集并汇总了所有相关企业的联系电话，邮箱和官方网站信息，并且通过程序自动化方式对收集到的信息进行整理形成图表，从而得到【1.1】小节中的关联信息网状图。

通过搜索引擎对相关的情报进行搜索，可以查询到本文涉及到的内容对应的网站信息。

例如在必应搜索引擎中搜索"杏仁桉推广"关键词，可以查询到【1.2】小节中的杏仁桉推广结算系统。

在友商平台中根据天津杏仁桉域名

“apkevery.com”进行相关信息搜索，可以查询到【1.2】小节中"只允许鲁大师邮箱注册的用户中心系统"所在域名。

根据“天津拂云科技有限公司”法人“刘科”的杏仁桉域名邮箱

“[email protected]”在搜索引擎中进行搜索，可以搜索到其提交代码对应的一个自动构建网站记录。 

再针对该网站进行搜索所有提交记录的邮箱地址，可以发现相关人员的QQ邮箱。

通过对 QQ 邮箱进行对应搜索查找相关 QQ 账号，发现该 QQ 昵称由较为特殊的三个字构成，据此推断此昵称可能为姓名。进一步访问 mail.ludashi.com 网站，利用其找回密码功能获取信息，发现所得到的手机尾号与通过 QQ 找回密码流程中显示的尾号一致。综上所述，基本可以判定为同一人。

当在搜索引擎中以关键词“360wallpaper_bird”搜索小鸟壁纸安装包时，可以查询到一个记录了一系列工作日志的网站信息，即【1.4】小节中提到的外网工作日志。在网站中，可见【1.4】节中提到的一系列信息。

为了防止其具有争议性的推广行为被技术人员分析发现、被公众舆论讨论揭露，躲避自动化分析软件的监控和拦截，隐藏背后编织的巨型利益输送网络，这些推广模块采用了多种技术对抗手段。它们通过云控配置实时调整自身行为，专门规避技术人员等高危群体，精准针对普通用户投放。推广模块会根据用户的系统环境、地理位置、使用时长、是否充值等多维度信息判断用户价值，仅对"安全"目标、"小白"用户启动推广行为，使推广行为更加隐蔽。

从服务器下发云控配置开始，软件就开始了其针对性的检测：

· 地区相关：以鲁大师为例，软件会根据用户所在地区针对性的投放推广云控配置。测试得出，对北京地区的用户会减少或不下发推广相关的云控配置。

· 渠道相关：有些软件会专门区别用户是否从软件官网下载，并且针对从非官网渠道下载的用户推送推广云控配置，而官网用户将会减少或不下发推广相关云控配置。

· 用户相关：以鲁大师为例，获取云控时会通过遍历检测当前系统信息的方式判断是否为技术人员、是否在虚拟机中、是否为业务会员等相关数据，从而针对性调整云控配置。

为了实现其推广目的，掇取用户流量价值，相关软件实现了多种多样的推广方式：

推广模块以可动态载入的插件的形式存在，从而使得大部分推广策略都可以在云端动态调整。下图中展示的内容为鲁大师软件中包含的部分推广方式。

为与用户及监管进行"捉迷藏"，软件采用多种方式以规避各类情形。 

自上次监控到"重庆赫赫有盾科技有限公司"开发的软件"DXRepair"利用云控下发推广配置以来，火绒安全情报中心一直持续关注相关威胁情报的动向。外网数据显示，包含类似推广模块的软件仍在大量传播。其中，一款名为"TabXExplorer"的软件同样会弹窗安装软件并劫持浏览器，其签名信息显示来源为"成都奇鲁科技有限公司"。

鲁大师作为在国内具有极高传播度的硬件检测软件，许多用户在新购置电脑时会安装此软件，用以开展跑分测试并查看硬件信息。然而，用户很难预料到，这一看似正常的使用行为，会在未得到充分告知或被故意模糊告知的情形下，使自己的电脑沦为相关企业的“流量变现工具”。

本次主要围绕鲁大师软件展开技术分析，并提出该系列推广软件的共性。在溯源过程中，我们发现小鸟壁纸等软件同样包含类似的推广模块，其中Lua脚本执行模块和云控配置请求模块是这些带有推广插件的软件的共同特征。

不同软件中的云控配置请求模块名称各异，但功能相同。例如：

在软件中通常有一个控制大部分推广行为的云控配置，下文中称为"总体云控配置"，在该配置中包含大部分的推广相关配置。

本次分析中，所有软件的推广模块基本采用相同的加密方式：使用 BlowFish 算法对原始数据加密，再通过 Base64 算法编码后进行数据收发。解密操作主要发生在以下场景：

接收服务器云控配置、解析云控配置字段值、下载  Lua 脚本、读取软件中以加密形式存储的配置文件。

分析过程中发现，推广模块在获取云控配置时也会进行规避，根据用户地区和下载渠道筛选推广目标，避免向高风险用户投放从而规避可能的风险。

整体云控配置下发：

云控配置包含大量推广相关参数。通过测试发现，非北京IP与北京IP获取到的配置存在显著差异，通常非北京IP会收到更多的推广配置，具体对比如下所示。

获取京粉佣金链接：

在获取京粉佣金链接时，系统同样会对北京IP进行规避。例如，北京IP获取的云控配置中 data.land_url 字段为空，而太原等其他地区的IP则会返回该字段的具体值，如下所示。

非官网渠道下载会产生更多推广：

一般情况下，其他公司的官网渠道代号为"home"，鲁大师的官网渠道代号为"ludashi"。经过多次测试发现，通过官网渠道下载的软件在推广行为上会有所收敛：减少或不下发推广相关的云控配置，又或者在安装包中减少或移除推广模块。

例如，迅读 PDF 大师会根据访问官网时的URL参数动态切换安装包下载地址。官网渠道提供的安装包不包含推广插件，而其他渠道的安装包则内置推广插件。

请求云控配置时，客户端会上报环境检测数据，包括：sr（杀毒软件）、vm（虚拟机）、vip（会员状态）、advance（360广告弹窗开关与弹窗拦截开关）、dev（技术人员检测）等信息，服务端据此动态下发差异化的推广配置。

☞  sr（杀毒软件）：

检查 SOFTWAREMicrosoftWindowsCurrentVersionUninstall 注册表路径中 DisplayIcon 与 InstallLocation 键值中是否存在以下杀软程序名，如果存在，则将其收集到 sr 键值中。 

☞  vm（虚拟机）：

检测 

HKEY_CLASSES_ROOTApplicationsVMwareHostOpen.exeshellopencommand 是否存在且默认值有效则会判断为虚拟机。

☞  vip（会员）：

VIP数据通过读取本地配置文件或注册表获取。例如，检测

 %APPDATA%TabXExplorerconfig.ini文件中settings节的level值是否大于等于0，或检测注册表项

HKEY_LOCAL_MACHINESOFTWARELDSGameMasterUser中level键值是否存在且小于100。

除了云控请求时会附带会员状态，在部分 Lua 脚本中也会检测是否为会员或充值，若充值过鲁大师尊享版会员则会在配置文件 ComputerZ.set 中设置 rc_flag 键值为 1，随后在 Lua 脚本中检测会员状态从而规避。 

除此之外还会规避小鸟（360）壁纸（IsBizhiVip）、Halo壁纸（HaloVip）、TabX Explorer 资源管理器（IsTabXVip）、手机模拟大师（GameMasterVip）等会员用户。

☞  advance（360广告弹窗开关与360弹窗拦截开关）：

检测

 HKEY_LOCAL_MACHINESOFTWAREWOW6432Node360Safestat 项中noadpop与advtool_PopWndTracker的键值是否为1，后者的值表明是否开启360弹窗过滤器的强力模式。

通过以下程序是否运行来判断当前用户是否为开发者等技术人员，从而使dev字段设置为1。

规避代码不止在推广模块中执行，也在Lua脚本中执行，且不同公司和软件拥有不同的规避手段。下面将介绍分析过程中发现的规避手段。

在规避虚拟机环境时，推广模块会调用 Basic.tpi（Lua 解释模块）中的 LuaSystemFactory.VirturalMachineName 函数进行检测。该函数通过 CPUID 指令实现虚拟机识别：首先传入 EAX=1，检查返回值的第 31 位是否为 1，若为 1 则表明运行在 Hypervisor（虚拟机监控程序）环境中；随后传入 EAX=0x40000000 读取虚拟机厂商标识，从而精确识别虚拟机类型。

多数软件中的推广模块及Lua推广脚本会检测浏览器历史记录，以规避特定人群。检测内容包括历史记录中的页面标题和访问网址。

标题：系统会匹配历史记录中的页面标题，检测是否包含"劫持"、"捆绑"、"流氓软件"、"自动打开"等关键词，一旦发现则停止向该用户推广，以规避曾搜索过此类内容的用户。

访问网址：匹配历史记录中访问网址中是否存在以下内容，若存在则会选择不推广。

· 技术类网址：例如 bbs.pediy.com（看雪）、www.52pojie.cn（吾爱破解）等网址。

· 投诉类网址：例如 www.12315.cn（全国 12315 平台）、www.bj315.org（北京市消费者协会）等网址。

· 传播平台类网址：例如 weibo.com（微博） 与 www.zhihu.com（知乎）等网址。

· 值得注意的是，在劫持浏览器的过程中，会对用户是否访问过周鸿祎的微博进行检测，若检测结果为已访问，则不会进行推广。

部分脚本会运用反向规避策略，对用户是否存在玩游戏、观看视频、使用搜索引擎、下载软件等正常浏览行为进行检测。若用户的历史记录中缺乏这些常规活动的痕迹，便会将其判定为非正常用户（例如处于安全分析环境中的用户、测试账号等），并停止推广操作。

安装软件检测：

通过遍历

 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall 注册表路径检测当前电脑已安装的软件。

杀毒软件检测：

系统会检测杀毒软件的安装情况，包括火绒、卡巴斯基、360安全卫士等。检测结果在不同脚本中会触发不同的处理逻辑。例如，主页防护模块的更新脚本采用反向逻辑：只有检测到杀毒软件时才会继续更新，若未检测到则不更新。

技术软件检测：

系统会检测是否安装了 IDA、Visual Studio、Fiddler 等技术分析和开发工具，若检测到则停止推广，以规避技术人员和安全研究人员。

检测进程名：

检测窗口类名：

系统通过检测窗口类名来识别控制面板并进行规避。该窗口检测逻辑与 DirectX 强力修复软件中的 wsadd.pln 模块实现方式一致。（文章《流氓联盟欺软怕硬，多链路恶意推广》中检测控制面板窗口的逻辑，相关链接见文末。）

系统会检测任务栏图标数量是否大于等于5个，以此规避常驻进程较少的测试环境或虚假用户。

浏览器插件安装脚本采用延迟触发机制：脚本每天尝试执行一次，但需要在软件安装7天后才会真正执行安装操作，且每次成功安装后还有180天的冷却期。

任务栏图标推广脚本，会根据软件安装时长设置不同的冷却期。以鲁大师为例：其官网渠道需等待24小时后才会进行推广，而 lx_store（联想应用商店）渠道则无冷却期，安装后会立即推广。

RunExtention.tpi 为 Lua 脚本执行器，利用 Basic.tpi 模块导出函数 GetLuaExplain 获取 Lua 解释器进行解释执行。

其与 DirectX 强力修复分析报告中的 runext.pln 插件类似，都是通过 0x1401 和 0x1402 消息数据传输，也同样拥有 EventId（控制脚本执行方式） 、缓存和下载以及执行的机制。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中 runext.pln 脚本执行模块章节，相关链接见文末。）

原先 DirectX 强力修复中脚本种类主要有弹窗推广与任务栏闪烁推广，但在此次鲁大师分析中发现还有 Dll 下载与加载和组件更新类脚本。

该类样本具备下载并加载任意DLL的能力。本次发现的云控配置即利用该功能分发浏览器插件安装模块，目前仅在鲁大师环境中观测到此类脚本。

该浏览器插件安装模块支持 Chrome、Edge、Firefox、360安全浏览器等主流平台。所安装插件多为日历、记事助手等日常工具，但其中暗藏篡改URL参数及页面重定向功能。

该脚本会先通过80% 随机概率、冷却检测、付费用户检测、技术程序检测、虚拟机检测、杀毒软件检测、控量、浏览器支持检测、历史记录检测、浏览器插件等检测，若全部通过则开始安装插件。

其中浏览器插件的检测是通过脚本中插件清理模块（bp_clean）中的 CheckPluginExist 函数进行检测，其中原理是遍历上述浏览器支持列表中所有 extensions 插件文件夹，检测其中是否有指定插件 ID，本次所规避的是淘客助手类浏览器插件（aokheaddinafdmjphkjlnachkejgleao）。

随后开始安装插件，利用的是插件安装模块（bp_deploy）中 install 导出函数，随后传入参数 hvsLi6Wy|118.190.130.219，以获取插件数据，随后发现该域名与小鸟壁纸相关。

随后发送

http://118.190.130.219:8107/dcp/browser/cV2?param=加密

 ({"i":"60D2984F-487F-429d-B3F8-62E76030699E","p":"hvsLi6Wy","s":0,"t":1762314116,"v":"1.2.5.22"}

获取插件数据，其中字段p的值决定所获取的云控配置，当值为hvsLi6Wy时，返回数据中插件下载地址所属域名的备案信息为“上海灸烈网络科技有限公司”。

随后开始下载并将插件安装完成后，其background.js作为推广脚本，会在用户访问网页时执行参数添加或页面重定向等操作，以实现推广目的。

当用户使用百度搜索时，插件会自动设置tn参数。其参数值通过访问http://114.116.10.0/dcp/browser/uc?t={时间戳}，随后从获取到的云控配置中的百度配置中获取渠道标识。

还有京东和其他网址会通过 

http://dg.fireemulator.com/dcp/browser/rc，获取重定向链接，即为京粉佣金推广链接。

该类脚本经常用于推广“传奇”微端，以闪烁图标诱导用户点击，随后规避软件并进行网页弹窗或静默下载安装"传奇"微端。该类脚本在 DirectX 强力修复中就已存在。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中传奇微端推广章节，相关链接见文末。）

该类脚本通过设置虚假关闭按钮诱导用户交互，无论用户点击关闭按钮或触发超时机制，均会执行推广软件的下载安装流程。该行为模式与DirectX 强力修复"工具类似，而后者在用户点击"不再提示"时会执行卸载操作，点击关闭按钮则会默认保持安装状态。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中夸克弹窗推广章节，相关链接见文末。）推广软件会存于云控配置的 push_soft_slow 字段中，系统会自动选择最高价格的软件进行安装。但在测试环境中该配置字段为空值，推测是由于条件未触发或服务端暂未下发有效配置。

浏览器弹窗安装：在测试过程中，浏览器弹出《推荐-安装幻笔 AI》窗口，经交互验证，点击该弹窗将触发安装流程。

锁定浏览器主页：测试时发现 Utils 目录中 guardhp.exe 程序会弹出浏览器主页锁定操作，弹出时将浏览器锁定为 hao.360.cn。

推广自身小工具：接收整体云控配置中universal_popup_rec_slow与 popmgr_slow，分别是弹窗软件数据和弹窗规则，其含有intercept_bs类似的工具，本身用于推广自身小工具，通常存放于SuperApp文件夹中。

目前，火绒安全软件已实现对此类云控推广模块的识别、拦截及查杀。为保障您的设备安全与使用体验，远离流量劫持、强制弹窗、静默安装等不良行为的侵扰，建议广大用户将火绒安全软件更新至最新版本，随后启动全盘查杀功能对设备进行全面扫描，及时清除潜在风险。火绒也将持续追踪，为用户构建持续、可靠的安全防护屏障。