火绒安全发布，揭秘鲁大师为首系列企业流量劫持黑幕

多家软件厂商（如成都奇鲁科技、天津杏仁桉科技、重庆赫赫有盾科技等）构建了一个庞大的、跨公司的推广网络。它们利用用户对常用工具软件（如鲁大师、DX强力修复、小蓝鸽卸载等）的信任，在软件中植入云控驱动的推广模块，在用户不知情或未明确同意的情况下，进行流量劫持和变现。

核心技术手段：动态云控与精准规避

云端控制：所有推广行为（弹窗、锁屏、静默安装、浏览器劫持等）均由云端服务器下发的加密配置（通常使用 Blowfish + Base64 加密）动态控制，可随时调整策略。

精准“欺软怕硬”：推广模块会进行极其精细的环境检测，主动规避高风险用户，只对普通“小白”用户下手。规避对象包括：

技术人员：检测是否运行IDA、Wireshark、Process Monitor等分析工具，或访问吾爱破解、看雪论坛等技术网站。

安全软件用户：检测火绒、卡巴斯基、360等杀毒软件的存在。

特定地区/渠道用户：例如，对北京IP或从官网下载的用户减少推广。

付费/反馈用户：规避已购买会员或曾投诉的用户。

虚拟机/测试环境：通过多种技术手段识别并避开自动化分析环境。

多样化的恶意推广方式

强制弹窗：桌面弹窗、任务栏图标闪烁诱导点击。

锁屏广告：强制全屏展示广告，干扰用户正常使用。

静默安装：在后台偷偷安装其他软件（如DustAway、SecretCipher等），甚至设计“假关闭”按钮，无论用户点击关闭还是超时，都会完成安装。

浏览器劫持：篡改京东链接，插入京粉佣金参数以赚取推广费。在百度搜索URL中添加tn渠道标识，获取搜索分成。弹出伪装的百度搜索框或“传奇”游戏窗口。静默安装带有重定向功能的浏览器扩展。

复杂的关联网络与利益输送

表面上互不相关的数十家公司，通过共享的域名（如apkevery.com）、代码仓库、构建系统、结算后台以及人员邮箱（如仅允许@ludashi.com注册）等方式紧密勾连，形成了一个分工明确、逃避监管的灰色产业链。

安全建议

火绒安全软件已能有效识别、拦截并查杀此类恶意推广行为。用户应及时更新安全软件至最新版本，并执行全盘查杀，以清除潜在威胁，保护自身设备和数据安全，避免成为其流量变现的工具。